マルチノード高可用性における IPSec VPN サポート
アクティブバックアップモードのIPSec VPN
SRXシリーズファイアウォールは、マルチノード高可用性設定でIPSec VPNトンネルをサポートします。Junos OS リリース 22.4R1 より前は、IPSec VPN トンネルは SRG1 に固定され、SRG1 はステートフル アクティブ/バックアップ モードで動作します。このモードでは、すべてのVPNトンネルは、SRG1がアクティブな同じデバイスで終了します。
マルチノード高可用性は、IPsec トンネルを確立し、次の方法で鍵交換を実行します。
-
ルーティング導入で、アクティブSRG1のフローティングIPアドレスを終端IPに動的に関連付け、スイッチングモードで2つのデバイス間をフロートする終端IPである仮想IP(VIP)を割り当てます。
-
トンネル確立を認証するために動的 CA プロファイルが必要な場合に、SRG1 がアクティブなノードで CA プロファイルを生成する。
-
新しい認証を実行し、新しくアクティブになったノードで動的プロファイルをロードし、古いノードでクリアします。
アクティブ ノードとバックアップ ノードの両方で show
コマンドを実行して、IKE および IPsec セキュリティ アソシエーションのステータスを表示できますが、IKE および IPsec セキュリティ アソシエーションを削除できるのはアクティブ ノードのみです。
set chassis high-availability services-redundancy-group 1
コマンドを使用してアクティブ/バックアップ モードを有効にすると、VPN サービスが自動的に有効になります。詳細については、設定例を参照してください。
PKI ファイルがピア ノードに同期されるのは、ICL のリンク暗号化を有効にした場合のみです。
セキュリティ デバイスでマルチノード高可用性付き VPN を設定する場合は、以下の手順を推奨します。
-
バックアップノードで、セキュリティIKEゲートウェイ、IPSec VPN、インターフェイスst0.x、セキュリティゾーンを設定し、設定をコミットします。
-
アクティブノードで、セキュリティIKEゲートウェイ、IPSec VPN、st0.xインターフェイス、セキュリティゾーン、静的ルートを設定し、設定をコミットします。
commit synchronize オプションを使用しない場合は、アクティブノードで設定をコミットする前に、バックアップノードの設定をコミットする必要があります。
バックアップノードでパケットを処理する
マルチノード高可用性で process-packet-on-backup
オプションを使用すると、パケット転送エンジンは対応する SRG のバックアップ ノードにパケットを転送します。この設定では、ノードがアクティブ モードでない場合でも、バックアップ ノードで VPN パケットが処理されます。これにより、フェイルオーバー後にバックアップノードがアクティブなロールに移行する際の遅延がなくなります。パケット プロセスは、移行期間中も続行されます。
[set chassis high-availability services-redundancy-group name process-packet-on-backup
]ステートメントを使用して、SRG1でバックアップ時にプロセスパケットを設定できます。
アクティブ/アクティブ モードの IPSec VPN
Junos OS リリース 22.4R1 以降では、IPSec VPN のマルチ SRG1(SRG1+)をサポートして、マルチノード高可用性をアクティブ/アクティブ モードで動作するように設定できます。このモードでは、一部の SRG は 1 つのノードでアクティブなままになり、一部の SRG は別のノードでアクティブなままになります。特定の SRG は常にアクティブ バックアップ モードで動作します。1つのノードではアクティブモード、別のノードではバックアップモードで動作します。
マルチノード高可用性は、複数のSRG(SRG1+)によるアクティブ/アクティブ モードの IPSec VPN をサポートします。このモードでは、SRGのアクティブ性に基づいて、両方のノードから複数のアクティブなトンネルを確立できます。異なる SRG を異なるノードでアクティブにできるため、これらの SRG に属するトンネルは両方のノードで独立して立ち上がります。両方のノードでアクティブなトンネルを持つことで、両方のノードでデータトラフィックの暗号化/復号化が可能になり、帯域幅を効率的に使用できます。
図 1: そして 図2 アクティブバックアップとアクティブ/アクティブの違いを示す マルチノード高可用性 IPSec VPN トンネル。

マルチノード高可用性は、IPsec トンネルを確立し、終端 IP アドレス(終端のトンネルも識別する)を SRG に関連付けて、鍵交換を実行します。各デバイスで異なるSRG1+がアクティブ状態またはバックアップ状態になる可能性があるため、マルチノード高可用性は、対応するアクティブなSRG1に一致するトラフィックを効果的に誘導します。マルチノード高可用性は、SRG IDとIPプレフィックスマッピング情報も維持します。
表 1 と 表 2 は、SRG1+ の変更による IPSec VPN トンネルへの影響の詳細を示しています。
SRG1 の変更 | がIPSec VPN トンネルに与える影響 |
---|---|
SRG の追加 | 既存のトンネルへの影響なし |
SRG の削除 | SRG に関連付けられているすべてのルートを削除します。 |
SRG属性(プレフィックスリスト以外)の変更 | 既存のトンネルへの影響なし |
SRG ID の変更 | SRG に関連付けられている既存のトンネルをすべて削除します。 |
プレフィックスリスト変更のIPプレフィックス | その特定の IP プレフィックスにマッピングされているすべてのトンネルを削除します。 変更された IP プレフィックスへの既存のトンネル マッピングがない場合、影響はありません。 |
SRG の状態変更 | アクション(マルチノード高可用性から) |
---|---|
|
その SRG に対応するすべてのデータを削除し、新しいアクティブな SRG から再同期します。 |
|
その SRG に対応するすべてのデータを削除し、新しいアクティブな SRG から再同期します。 |
|
該当なし |
|
アクションなし |
|
アクションなし |
|
アクションなし |
|
アクションなし(状態遷移の可能性があり、アクティブ状態が事前または事後状態に関与していない場合、アクションは必要ありません) |
|
アクションなし(状態遷移の可能性があり、アクティブ状態が事前または事後状態に関与していない場合、アクションは必要ありません) |
|
アクションなし(状態遷移の可能性があり、アクティブ状態が事前または事後状態に関与していない場合、アクションは必要ありません) |
SRGへのIPSec VPNサービスの関連付け
22.4R1より前のリリースでは、SRG0とSRG1のみがサポートされており、SRG1はデフォルトでIPSec VPNに関連付けられていました。22.4R1では、SRGはデフォルトでIPSec VPNサービスに関連付けられていません。次の手順で、IPSec VPN サービスを複数の SRG のいずれかに関連付ける必要があります。
- 管理サービスとしてのIPsecの指定
旧:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec]
- IP プレフィックス リストの作成
旧:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>]
[set policy-options prefix-list <name> <IP address>
マルチノード高可用性設定に複数の SRG がある場合、一部の SRG は 1 つのノードでアクティブ状態になり、一部の SRG は別のノードでアクティブ状態になります。IPプレフィックスリストを設定することで、特定のIPsecトンネルを特定のノード(SRXシリーズファイアウォール)に固定できます。
IPSec VPN構成では、IKEゲートウェイは2つのセキュリティデバイス間のネットワーク接続を開始および終了します。ローカルエンド(ローカルIKEゲートウェイ)は、IKEネゴシエーションを開始するSRXシリーズインターフェイスです。ローカルIKEゲートウェイには、ファイアウォール上でパブリックにルーティング可能なIPアドレスであるローカルIPアドレスがあり、VPN 接続エンドポイントとして使用します。
IPプレフィックスリストには、IKEゲートウェイのローカルアドレスとして使用されるIPv4またはIPv6アドレスプレフィックスのリストが含まれています。これらのIPプレフィックス(プレフィックスリスト)を指定したSRG1に関連付けることで、SRGの状態に応じて優先度の高いIKEゲートウェイのローカルアドレスをアドバタイズできます。
特定の IPSec VPN トンネルを特定のセキュリティ デバイスに固定するには、次のことを行う必要があります。
-
IKEゲートウェイのローカルアドレスを含めてIPプレフィックスリストを作成し、IPプレフィックスリストをSRGに関連付けます。
例:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
- プレフィックスリストのルーティングインスタンスを定義します。
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 routing-instance rt-vr set chassis high-availability services-redundancy-group 1 prefix-list lo0_2 routing-instance rt-vr
プレフィックスリストにルーティングインスタンスを関連付けない場合、マルチノード高可用性はデフォルトのルーティングテーブルを使用するため、VPN機能に影響を与える可能性があります。
-
SRGにIPSec VPNを関連付けて有効にします。
例:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
この設定では、マルチノード高可用性設定のSRXシリーズファイアウォールに設定された複数のSRGの1つに、選択的かつ柔軟にIPSec VPNを関連付けることができます。
次のコマンドを使用して、IKE/IPsecオブジェクトのSRGへのマッピングを確認できます。
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
次のコマンドを使用して、SRG と IP プレフィックス リストのマッピングを確認できます。
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
プレフィックスリストを設定しない場合、次の警告メッセージが表示されます。
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
詳細については、例: レイヤー 3 ネットワークのアクティブ/アクティブ マルチノード高可用性における IPSec VPN の設定を参照してください。
IPSec VPN の動的ルーティングプロトコルのサポート
Junos OS リリース 23.2R1 以降では、ノードローカルトンネルを使用して、マルチノード高可用性設定で IPSec VPN の動的ルーティングプロトコルを有効にできます。動的ルーティング プロトコルが追加するルートは、ノードに対してローカルのままです。これらのルートは、どのサービス冗長グループ(SRG)にもバインドされません。
以前のリリースでは、マルチノード高可用性はトラフィックセレクターの導入のみサポートしていました。つまり、トラフィックセレクターを使用して IPSec VPN を設定する場合、トラフィックセレクターのプレフィックスに基づいて、優先値とルーティングメトリックを考慮してルートをインストールします。
ノードローカルトンネルを設定する場合、VPN ピアデバイスからマルチノード高可用性設定の両方のノードへのトンネルが別個に作成されます。つまり、2つのマルチノード高可用性ノードそれぞれに1つのノードローカルトンネルがあります。
図 3、 図 4、 図 5 は、それぞれ、同期されたトンネル、ノードローカル トンネル、および同期されたトンネルとノードローカル トンネルの組み合わせを使用した、マルチノード高可用性 IPSec VPN の導入を示しています。

上の図は、ピアデバイスとマルチノード高可用性設定間の IPSec VPN トンネルを示しています。IPSec VPN トンネルは、アクティブな SRG1+ に固定されます。トンネルは、アソシエートされた SRG1+ がアクティブな間、アクティブなままです。この導入では、トラフィックはアクティブなトンネル(トンネル 1)を通過します。

上の図では、VPN ピアデバイスとマルチノード高可用性設定の間に 2 つのノードローカルトンネルがあります。各トンネルは、セットアップ内の 2 つのノードのいずれかに接続します。これらのトンネルは、どのSRG1+にも関連付けられていません。一方または両方のトンネルは、いつでもアクティブなままにすることができます。設定されたルーティング プロトコルに基づき、トラフィックはいつでもトンネル 2 またはトンネル 3 を通過します。

上の図は、VPN ピアデバイスとマルチノード高可用性設定間の IPSec VPN トンネルを示しています。さらに、この図は、VPN ピアデバイスとマルチノード高可用性設定の間の 2 つのノードローカルトンネルを示しています。
IPSec VPN トンネルは、アクティブな SRG1+ に固定され、関連する SRG1+ がアクティブな間はアクティブなままになります。ノードローカル トンネルの場合、両方のトンネルがアクティブなままになります。
表 3 は、 node-local
トンネルと同期トンネルの違いを示しています。
機能 | ノードローカル トンネル | 同期トンネル |
---|---|---|
SRG1+との関連 | いいえ | はい |
マルチノード高可用性ノード間のトンネル情報の同期 | いいえ | はい |
アクティブトンネルの数 | 2 | 1 |
IPSec VPN トンネルをノードローカルトンネルとしてマークする
以下のステートメントを使用して、SRXシリーズファイアウォールで node-local
IPSec VPNトンネルを設定できます。
[edit] user@host# set security ike gateway gateway-name node-local
マルチノード高可用性設定の両方のノードに node-local
オプションを設定してください。
ルーティングポリシーを設定する際は、必ず 1 つのトンネルにプリファレンスを設定してください。
マルチノード高可用性におけるADVPNサポート
Junos OS リリース 24.2R1 以降、マルチノード高可用性は、ノードローカルトンネルの導入で ADVPN をサポートします。
ノードローカルトンネルは、設定でVPN ピアデバイスから両方のノードへの個別のトンネルを提供することで、マルチノードHAを強化します。ADVPNを使用すると、スポーク間でVPNトンネルを動的に確立できます。ノードローカルトンネルの導入でADVPNとマルチノードHAを組み合わせることで、堅牢なネットワーク接続、効率的なリソース利用、シームレスなフェイルオーバーが保証されます。
ADVPNプロトコルを使用すると、2つのパートナーゲートウェイ間にショートカットパスを作成して、データ配信に最適なパスを確立できます。従来、ハブアンドスポーク型ネットワークでは、2つのスポーク間のトラフィックはハブを通過します。ADVPNでは、ハブは、以前にIPsec SAを確立したピア(スポークデバイス)間のショートカットを推奨します。ショートカットを提案するかどうかは、ハブを介してピアのペア間を流れるトラフィックの期間と量によって異なります。ショートカット パートナーと呼ばれるこれらのピアは、独自のポリシーに従って、この推奨事項を承認または拒否します。
ピアは提案を受け入れ、ピア間に直接 SA(ショートカット)を確立します。各ショートカットに対して、新しいフェーズ1およびフェーズ2のSAが作成されます。このショートカットは、データ配信のより最適なパスを確立するために使用されます。ピア間を流れるすべてのトラフィックは、ピア間のショートカット トンネルを直接経由するようになりました。
ピアが推奨を拒否した場合、ピアは拒否の理由を示す提案者に応答します。この場合、トラフィックは引き続きショートカットサジェスタを通過します。
マルチノード高可用性設定には、アクティブノードとバックアップノードとして機能する2台のSRXシリーズファイアウォールと、ノードローカル構成の2台のVPN ピアデバイスが含まれます。この場合、VPN ピアデバイスとマルチノード高可用性セットアップの間にIPSec VPNトンネルが確立されます。
- ショートカットサジェスタ:ピア間を移動するトラフィックに気づき、ショートカットを提案します。
- ショートカット パートナー:ショートカット トンネルを形成するピア デバイスです。ショートカットの交換は、拡張IKEv2プロトコルを介して行われます。
マルチノード高可用性設定では、ノードローカルトンネルを持つVPN ピアデバイスが次の役割を担います。
- ADVPNショートカットパートナー
- ADVPNショートカットサジェスタ
ADVPN設定では、SRXシリーズファイアウォールはショートカット提案者またはショートカットパートナーとして機能できますが、一度に提案者とパートナーの両方として機能することはできません。
次の図は、VPN ゲートウェイがショートカットの提案者およびパートナーとして機能する方法を示しています。
- VPN ピア デバイスはショートカット パートナーとして動作し、2 つのトンネルを確立します。1 つは各マルチノード高可用性ノードに向けてです。この場合、各ノードはショートカット サジェスタとして機能します。
図 6: ショートカット パートナー
としての VPN ゲートウェイ
図に示すように、次のようになります。
- マルチノード高可用性の2つのSRXシリーズファイアウォールは、Suggester-1(アクティブノード)とSuggester-2(バックアップノード)のショートカットサジェスタとして機能します。
- 2 つの VPN ゲートウェイは、Partner-1 と Partner-2 のショートカット パートナーとして機能しています。
- Partner-1 は 2 つのトンネルを作成します。1 つは Suggester-1 に向かって、もう 1 つは Sugester-2 に向かっています
- Partner-2 は 2 つのトンネルを作成します。1 つは Suggester-1 に向かって、もう 1 つは Sugester-2 に向かっています
- Partner-1 から Partner-2 へのトラフィックは Suggester-1 を経由します。Suggester-1 は、Partner-1 と Partner-2 にショートカットを作成するように通知します。
- アクティブ ノード(suggester-1)に障害が発生し、Suggester-1 から Partner-1 と Partner-2 の両方への両方のトンネルがダウンしている場合、次のようになります。
-
- 先に作成したショートカットはアクティブなままですが、Partner-1 から Partner-2 へのトラフィック フローは Suggester-2 を通過します。この場合、Suggester-2 は Partner-1 と Partner-2 の間のショートカットを提案します。ショートカットは Partner-1 と Partner-2 の間に既に存在するため、新しいショートカット Suggester-2 の提案は拒否されます。
- ショートカット提案者として動作する VPN ピア デバイス。この場合、各マルチノード高可用性ノードはショートカット パートナーとして機能し、VPN ピア デバイスに向けて個別のトンネルを確立します。
図 7:ショートカット サジェスタとしての VPN ゲートウェイ
- マルチノード高可用性のSRXシリーズファイアウォールは、パートナー-1-Aおよびパートナー-1-Bとして機能しています。
- 1つのVPNゲートウェイがサジェスタとして機能し、別のSRXシリーズファイアウォールがPartner-2として機能しています。
- Partner-1-A(アクティブノード)は、Suggesterで静的トンネル(アクティブトンネル)を作成します。
- Partner-1-B(バックアップノード)は、Suggesterで静的トンネル(バックアップトンネル)を作成します。
- Partner-1-A から Partner-2 へのトラフィックは Suggester を経由します。
- Suggester は、Partner-1-A と Partner-2 の間にショートカットを作成することを提案しています。
- Partner-1-A と Partner-2 は、それらの間にショートカットを作成します。パートナーとサジェスタ間の静的トンネルがダウンしても、ショートカット トンネルには影響しないことに注意してください。静的トンネルがダウンした後も、トラフィックはショートカット トンネルを通過し続けます。
構成のハイライト
- SRXシリーズファイアウォールでマルチノード高可用性を設定します。 例:レイヤー 3 ネットワークでのマルチノード高可用性の設定を参照してください。
- マルチノード高可用性設定の両方のノードに
node-local
オプションを設定してください。例:set security ike gateway gateway-name node-local
- 必要に応じて、SRXシリーズファイアウォールでショートカットパートナーまたはショートカットサジェスタのロールを設定します。 自動検出 VPN を参照してください。
デフォルトでは、IKEゲートウェイ階層で advpn を設定すると、ショートカットサジェスタとショートカットパートナーの両方のオプションが有効になります。その特定の機能を無効にするには、suggester オプションまたは partner オプションを明示的に無効にする必要があります。
[edit security ike] gateway gateway_1 { … node-local … advpn { partner disable; } }
[edit security ike] gateway gateway_1 { advpn { suggester disable; partner { connection-limit 5; idle-time 300; } } }
制限
- ADVPN サジェスタの設定は、スポーク設定のパートナー機能である AutoVPN ハブでのみ許可されます。
- 同じ IKE ゲートウェイで提案者ロールとパートナーロールの両方を構成することはできません
- ADVPNはIKEv1をサポートしていません
- NATデバイスの背後にあるパートナー間にショートカットを作成することはできません。