Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

単一のMXシリーズルーター(CSDSトラフィックオーケストレータ)とスケールアウトされたSRXシリーズファイアウォールでのIPSec VPNトラフィックフロー

このトピックでは、CSDS Traffic OrchestratorとSRXシリーズファイアウォールを使用して、単一のMXシリーズルーターでIPsec トラフィックがどのように流れるかを見ていきます。

トポロジーについては 、図 1 を参照してください。このトポロジーでは、次のようになります。

  • IPSEC、VR、およびインターネットルーティングインスタンス用にそれぞれ1つずつ、合計2つのインターフェイスを持つ単一のMXシリーズルーターを設定します。MXシリーズCSDSトラフィックオーケストレータ(CSDS-TO)は、スケールアウトされたすべてのSRXシリーズファイアウォールでヘルスチェックを実行し、トラフィックロードバランシング用のネクストホップを構築します。
  • BGPを使用して、スケールアウトされたすべてのSRXシリーズファイアウォールをMXシリーズルーターに接続します。

  • IPSEC VRルーティング インスタンスでCSDS-TOを使用してMXシリーズルーターを設定し、クライアント側のゲートウェイルーターからスケールアウトされたSRXシリーズファイアウォールに向かって来るデータトラフィックをロードバランシングします。

  • MNHA ペアごとに、固有の IKE の提案、IKE ポリシー、IPsec プロポーザル、IPsec ポリシーを設定します。

  • MXシリーズルーターに接続されているスケールアウトSRXシリーズファイアウォールごとに一意のIPアドレスを構成します。TLB はこれらのアドレスを使用してヘルスチェックを実行し、パケット転送エンジンでセレクターテーブルを構築します。パケット転送エンジンは、このセレクターテーブルを使用して、利用可能なネクストホップ間でパケットのロードバランシングを行います。ヘルスチェックパケットは、BGP接続を介して到達可能です。IKEエンドポイントに使用されるエニーキャストIPアドレスは、各SRXシリーズファイアウォール上のこの一意のIPアドレスを介して到達可能です。

  • IKEエンドポイントと同じエニーキャストIPアドレスを使用して、AutoVPN用にスケールアウトされたすべてのSRXシリーズファイアウォールを設定します。すべてのSRXシリーズファイアウォールは、IPSec VPNレスポンダ専用モードです。
  • MXシリーズルーターの背後で開始されたIPSec VPNクライアントは、同じSRXシリーズファイアウォールのIKEエンドポイントと、固有のトラフィックセレクターを使用します。SRXシリーズファイアウォールは、トラフィックセレクターを使用して独自の自動ルート挿入(ARI)ルートをインストールし、サーバーから適切なIPSec VPNトンネルにデータリターントラフィックを招待します。

  • IPsec VRルーティング インスタンスでCSDS-TOを使用してMXシリーズルーターを設定し、MXシリーズルーターからスケールアウトされたSRXシリーズファイアウォールに向かってくるIKEトラフィックをロードバランシングします。

図 1 は、トラフィック フローを順を追って示しています。

図 1:単一のMXシリーズルーター(CSDSトラフィックオーケストレータ)とSRXシリーズファイアウォールを使用したIPsecトラフィックフロー IPsec Traffic Flow with a Single MX Series Router (CSDS Traffic Orchestrator) and SRX Series Firewalls

MXシリーズルーターは、IPSec、VR、インターネット方向でスケールアウトされたSRXシリーズファイアウォールに向けて、複数の論理インターフェイスで設定された単一のデバイスです。

  1. IKE IP アドレス一致に基づくフィルターベース転送(FBF)は、MXシリーズ ルーターで IPSec VPN トラフィックを CSDS-TO IPsec 転送インスタンスにプッシュするために使用されます。CSDS-TO転送インスタンスには、SRXシリーズファイアウォールのリストとしてネクストホップを持つデフォルトルートが含まれています。CSDS-TOは、少なくとも1つのSRXシリーズファイアウォールに対してヘルスチェックが通過すると、このデフォルトルートをインストールします。

  2. CSDS-TOは、利用可能なすべてのSRXシリーズファイアウォールネクストホップデバイスに対して、ソースベースのハッシュロードバランシングを実行します。

  3. 負荷分散されたIPSec VPNトンネルセッションは、利用可能なSRXシリーズファイアウォールに固定され、ARIルートをインストールします。

  4. SRXシリーズファイアウォールはパケットを復号化し、クリアテキストパケットをインターネットルーティング インスタンスを介してサーバーにルーティングします。

  5. 一意のARIルートは、MXシリーズインターネットルーティング インスタンス上のサーバーからクライアントへのリターントラフィックを処理します。これらのルートにより、トラフィックは、IPSec VPNトンネルを固定している同じSRXシリーズファイアウォールに確実に戻ります。

  6. SRXシリーズファイアウォールは、同じIPSec VPNトンネルセッションを使用してパケットを暗号化し、IPSec VPNトラフィックをIPSEC VR方向のMXシリーズルーターに向かってルーティングします。

  7. MXシリーズは、IPSec VPNトラフィックをIPSec VPNイニシエーターにルーティングします。

詳細については、「 エンタープライズ向けスケールアウトIPsecソリューション - ジュニパー検証済み設計(JVD)」および 「モバイルサービスプロバイダ向けスケールアウトIPsecソリューション - ジュニパー検証済み設計(JVD)」をご覧ください。