Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

シングルMXシリーズ(CSDSトラフィックオーケストレータ)およびスケールアウトSRXシリーズファイアウォールでのIPSec VPNトラフィックフロー

このトピックでは、CSDS トラフィック オーケストレータと SRXシリーズ ファイアウォールを使用して、単一のMXシリーズでIPsec トラフィックがどのように流れるかを見ていきます。

このトポロジーでは、次のようになります。

  • IPSEC、VR、およびインターネットルーティングインスタンス用に、2つのインターフェイスを備えた単一のMXシリーズを設定します。MXシリーズCSDSトラフィックオーケストレータ(CSDS-TO)は、スケールアウトされたすべてのSRXシリーズファイアウォールのヘルスチェックを行い、トラフィックのロードバランシング用のネクストホップを構築します。
  • スケールアウトしたすべてのSRXシリーズファイアウォールをBGP接続でMXシリーズに接続します。

  • IPSEC VRルーティング インスタンスでCSDS-TOを使用してMXシリーズを設定し、クライアント側のゲートウェイルーターからスケールアウトされたSRXシリーズファイアウォールに向かって送信されるデータトラフィックのロードバランシングを実行します。

  • MNHA ペアごとに固有の IKE の提案、IKE ポリシー、IPsec プロポーザル、IPsec ポリシーを設定します。

  • CSDS-TOがヘルスチェックを実行し、PFEでセレクターテーブルを構築するために使用する、MXシリーズに接続されているすべてのスケールアウトSRXシリーズファイアウォールに一意のIPアドレスを設定します。PFE は、このセレクター テーブルを使用して、利用可能なネクスト ホップ間でパケットの負荷分散を行います。このヘルスチェックには、BGP接続を介してアクセスできます。IKEエンドポイントに使用されるエニーキャストIPアドレスは、各SRXシリーズファイアウォール上のこの一意のIPアドレスを介してアクセスできます。

  • IKEエンドポイントと同じエニーキャストIPアドレスで、AutoVPN用にスケールアウトしたすべてのSRXシリーズファイアウォールを設定します。すべてのSRXシリーズファイアウォールがIPSec VPNレスポンダ専用モードになっている。
  • MXシリーズの背後で開始されたIPSec VPNクライアントは、一意のトラフィックセレクターを持つ同じSRXシリーズファイアウォールのIKEエンドポイントを使用します。SRXシリーズファイアウォールは、トラフィックセレクターを使用して独自の自動ルート挿入(ARI)ルートをインストールし、サーバーから適切なIPSec VPNトンネルにデータリターントラフィックを招待します。

  • IPSec VPN VR ルーティング インスタンスで CSDS-TO を使用してMXシリーズを設定し、ルーターからスケールアウトされた SRXシリーズ ファイアウォールに向けて送信される IKE トラフィックMXシリーズロードバランシングを実行します。

図 1 は、トラフィック フローを順を追って示しています。

図1:シングルMXシリーズ(CSDSトラフィックオーケストレータ)とSRXシリーズファイアウォールIPsec Traffic Flow with Single MX Series (CSDS Traffic Orchestrator) and SRX Series Firewallsを使用したIPsecトラフィックフロー

MXシリーズは、IPSEC VRおよびINTERNET VR方向でスケールアウトされたSRXシリーズファイアウォールに向けて、複数の論理インターフェイスで構成された単一のルーターです。

  1. IKE IP アドレス一致に基づくフィルターベースの転送は、MXシリーズ ルーターで IPSec VPN トラフィックを CSDS-TO IPsec 転送インスタンスにプッシュするために使用されます。CSDS-TO転送インスタンスには、SRXシリーズファイアウォールのリストとしてネクストホップを持つデフォルトルートが含まれています。CSDS-TOは、少なくとも1つのSRXシリーズファイアウォールに対してヘルスチェックが通過すると、このデフォルトルートをインストールします。

  2. CSDS-TOは、利用可能なすべてのSRXシリーズファイアウォールネクストホップデバイスに対して、ソースベースのハッシュロードバランシングを実行します。

  3. ロードバランシングされたIPSec VPNトンネルセッションは、利用可能なSRXシリーズファイアウォールに固定され、ARIルートをインストールします。

  4. パケットは復号化され、クリアテキストパケットはルーティングされ、インターネットルーティング インスタンス上のMXシリーズを介してサーバーに到達します。MXシリーズは、パケットをサーバーにルーティングします。

  5. MXシリーズインターネットルーティング インスタンス上のサーバーからクライアントへのリターントラフィックには、一意のARIルートを使用して、IPSec VPNトンネルが固定されている同じSRXシリーズファイアウォールにトラフィックをルーティングします。

  6. SRXシリーズファイアウォールは、同じIPSec VPNトンネルセッションを使用してパケットを暗号化し、IPSec VPN VR方向でMXシリーズに向けてIPSec VPNトラフィックをルーティングします。

  7. MXシリーズは、IPSec VPNトラフィックをIPSec VPNイニシエーターにルーティングします。

詳細については、「 エンタープライズ向けスケールアウトIPsecソリューション - ジュニパー検証済み設計(JVD)」および 「モバイルサービスプロバイダ向けスケールアウトIPsecソリューション - ジュニパー検証済み設計(JVD)」をご覧ください。