Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

マルチノード高可用性における IPSec VPN サポート

アクティブバックアップモードのIPSec VPN

SRXシリーズファイアウォールは、マルチノード高可用性設定でIPSec VPNトンネルをサポートします。Junos OS リリース 22.4R1 より前は、IPSec VPN トンネルは SRG1 に固定され、SRG1 はステートフル アクティブ/バックアップ モードで動作します。このモードでは、すべてのVPNトンネルは、SRG1がアクティブな同じデバイスで終了します。

マルチノード高可用性は、IPsec トンネルを確立し、次の方法で鍵交換を実行します。

  • ルーティング導入で、アクティブSRG1のフローティングIPアドレスを終端IPに動的に関連付け、スイッチングモードで2つのデバイス間をフロートする終端IPである仮想IP(VIP)を割り当てます。

  • トンネル確立を認証するために動的 CA プロファイルが必要な場合に、SRG1 がアクティブなノードで CA プロファイルを生成する。

  • 新しい認証を実行し、新しくアクティブになったノードで動的プロファイルをロードし、古いノードでクリアします。

アクティブ ノードとバックアップ ノードの両方で show コマンドを実行して、IKE および IPsec セキュリティ アソシエーションのステータスを表示できますが、IKE および IPsec セキュリティ アソシエーションを削除できるのはアクティブ ノードのみです。

set chassis high-availability services-redundancy-group 1 コマンドを使用してアクティブ/バックアップ モードを有効にすると、VPN サービスが自動的に有効になります。詳細については、設定例を参照してください。

手記:

PKI ファイルがピア ノードに同期されるのは、ICL のリンク暗号化を有効にした場合のみです。

先端:

セキュリティ デバイスでマルチノード高可用性付き VPN を設定する場合は、以下の手順を推奨します。

  • バックアップノードで、セキュリティIKEゲートウェイ、IPSec VPN、インターフェイスst0.x、セキュリティゾーンを設定し、設定をコミットします。

  • アクティブノードで、セキュリティIKEゲートウェイ、IPSec VPN、st0.xインターフェイス、セキュリティゾーン、静的ルートを設定し、設定をコミットします。

commit synchronize オプションを使用しない場合は、アクティブノードで設定をコミットする前に、バックアップノードの設定をコミットする必要があります。

バックアップノードでパケットを処理する

マルチノード高可用性で process-packet-on-backup オプションを使用すると、パケット転送エンジンは対応する SRG のバックアップ ノードにパケットを転送します。この設定では、ノードがアクティブ モードでない場合でも、バックアップ ノードで VPN パケットが処理されます。これにより、フェイルオーバー後にバックアップノードがアクティブなロールに移行する際の遅延がなくなります。パケット プロセスは、移行期間中も続行されます。

[set chassis high-availability services-redundancy-group name process-packet-on-backup]ステートメントを使用して、SRG1でバックアップ時にプロセスパケットを設定できます。

アクティブ/アクティブ モードの IPSec VPN

Junos OS リリース 22.4R1 以降では、IPSec VPN のマルチ SRG1(SRG1+)をサポートして、マルチノード高可用性をアクティブ/アクティブ モードで動作するように設定できます。このモードでは、一部の SRG は 1 つのノードでアクティブなままになり、一部の SRG は別のノードでアクティブなままになります。特定の SRG は常にアクティブ バックアップ モードで動作します。1つのノードではアクティブモード、別のノードではバックアップモードで動作します。

マルチノード高可用性は、複数のSRG(SRG1+)によるアクティブ/アクティブ モードの IPSec VPN をサポートします。このモードでは、SRGのアクティブ性に基づいて、両方のノードから複数のアクティブなトンネルを確立できます。異なる SRG を異なるノードでアクティブにできるため、これらの SRG に属するトンネルは両方のノードで独立して立ち上がります。両方のノードでアクティブなトンネルを持つことで、両方のノードでデータトラフィックの暗号化/復号化が可能になり、帯域幅を効率的に使用できます。

図 1: そして 図2 アクティブバックアップとアクティブ/アクティブの違いを示す マルチノード高可用性 IPSec VPN トンネル。
図 1: マルチノード高可用性Active-Backup IPsec VPN Tunnel in Multinode High AvailabilityにおけるアクティブバックアップIPSec VPNトンネル
図 2: マルチノード高可用性Active-Active IPsec VPN Tunnel in Multinode High Availabilityにおけるアクティブ/アクティブ IPSec VPN トンネル

マルチノード高可用性は、IPsec トンネルを確立し、終端 IP アドレス(終端のトンネルも識別する)を SRG に関連付けて、鍵交換を実行します。各デバイスで異なるSRG1+がアクティブ状態またはバックアップ状態になる可能性があるため、マルチノード高可用性は、対応するアクティブなSRG1に一致するトラフィックを効果的に誘導します。マルチノード高可用性は、SRG IDとIPプレフィックスマッピング情報も維持します。

表 1表 2 は、SRG1+ の変更による IPSec VPN トンネルへの影響の詳細を示しています。

表 1:SRG1+ の変更による IPSec VPN トンネルへの影響
SRG1 の変更IPSec VPN トンネルに与える影響
SRG の追加 既存のトンネルへの影響なし
SRG の削除

SRG に関連付けられているすべてのルートを削除します。

SRG属性(プレフィックスリスト以外)の変更 既存のトンネルへの影響なし
SRG ID の変更 SRG に関連付けられている既存のトンネルをすべて削除します。
プレフィックスリスト変更のIPプレフィックス

その特定の IP プレフィックスにマッピングされているすべてのトンネルを削除します。

変更された IP プレフィックスへの既存のトンネル マッピングがない場合、影響はありません。

表 2:SRG1+ の状態変化による IPSec VPN トンネルへの影響
SRG の状態変更 アクション(マルチノード高可用性から)

Active 宛先 Backup

その SRG に対応するすべてのデータを削除し、新しいアクティブな SRG から再同期します。

Active 宛先 Ineligible

その SRG に対応するすべてのデータを削除し、新しいアクティブな SRG から再同期します。

Active 宛先 Hold

該当なし

Backup 宛先 Active

アクションなし

Ineligible 宛先 Active

アクションなし

Hold 宛先 Active

アクションなし

Hold 宛先 Backup

アクションなし(状態遷移の可能性があり、アクティブ状態が事前または事後状態に関与していない場合、アクションは必要ありません)

Ineligible 宛先 Backup

アクションなし(状態遷移の可能性があり、アクティブ状態が事前または事後状態に関与していない場合、アクションは必要ありません)

Hold 宛先 Ineligible

アクションなし(状態遷移の可能性があり、アクティブ状態が事前または事後状態に関与していない場合、アクションは必要ありません)

SRGへのIPSec VPNサービスの関連付け

22.4R1より前のリリースでは、SRG0とSRG1のみがサポートされており、SRG1はデフォルトでIPSec VPNに関連付けられていました。22.4R1では、SRGはデフォルトでIPSec VPNサービスに関連付けられていません。次の手順で、IPSec VPN サービスを複数の SRG のいずれかに関連付ける必要があります。

  • 管理サービスとしてのIPsecの指定

    旧: [set chassis high-availability services-redundancy-group <id> managed-services ipsec]

  • IP プレフィックス リストの作成

    旧: [set chassis high-availability services-redundancy-group <id> prefix-list <name>]

    [set policy-options prefix-list <name> <IP address>

マルチノード高可用性設定に複数の SRG がある場合、一部の SRG は 1 つのノードでアクティブ状態になり、一部の SRG は別のノードでアクティブ状態になります。IPプレフィックスリストを設定することで、特定のIPsecトンネルを特定のノード(SRXシリーズファイアウォール)に固定できます。

IPSec VPN構成では、IKEゲートウェイは2つのセキュリティデバイス間のネットワーク接続を開始および終了します。ローカルエンド(ローカルIKEゲートウェイ)は、IKEネゴシエーションを開始するSRXシリーズインターフェイスです。ローカルIKEゲートウェイには、ファイアウォール上でパブリックにルーティング可能なIPアドレスであるローカルIPアドレスがあり、VPN 接続エンドポイントとして使用します。

IPプレフィックスリストには、IKEゲートウェイのローカルアドレスとして使用されるIPv4またはIPv6アドレスプレフィックスのリストが含まれています。これらのIPプレフィックス(プレフィックスリスト)を指定したSRG1に関連付けることで、SRGの状態に応じて優先度の高いIKEゲートウェイのローカルアドレスをアドバタイズできます。

特定の IPSec VPN トンネルを特定のセキュリティ デバイスに固定するには、次のことを行う必要があります。

  • IKEゲートウェイのローカルアドレスを含めてIPプレフィックスリストを作成し、IPプレフィックスリストをSRGに関連付けます。

    例:

  • プレフィックスリストのルーティングインスタンスを定義します。

    プレフィックスリストにルーティングインスタンスを関連付けない場合、マルチノード高可用性はデフォルトのルーティングテーブルを使用するため、VPN機能に影響を与える可能性があります。

  • SRGにIPSec VPNを関連付けて有効にします。

    例:

    この設定では、マルチノード高可用性設定のSRXシリーズファイアウォールに設定された複数のSRGの1つに、選択的かつ柔軟にIPSec VPNを関連付けることができます。

次のコマンドを使用して、IKE/IPsecオブジェクトのSRGへのマッピングを確認できます。

次のコマンドを使用して、SRG と IP プレフィックス リストのマッピングを確認できます。

プレフィックスリストを設定しない場合、次の警告メッセージが表示されます。

詳細については、例: レイヤー 3 ネットワークのアクティブ/アクティブ マルチノード高可用性における IPSec VPN の設定を参照してください。

IPSec VPN の動的ルーティングプロトコルのサポート

Junos OS リリース 23.2R1 以降では、ノードローカルトンネルを使用して、マルチノード高可用性設定で IPSec VPN の動的ルーティングプロトコルを有効にできます。動的ルーティング プロトコルが追加するルートは、ノードに対してローカルのままです。これらのルートは、どのサービス冗長グループ(SRG)にもバインドされません。

以前のリリースでは、マルチノード高可用性はトラフィックセレクターの導入のみサポートしていました。つまり、トラフィックセレクターを使用して IPSec VPN を設定する場合、トラフィックセレクターのプレフィックスに基づいて、優先値とルーティングメトリックを考慮してルートをインストールします。

ノードローカルトンネルを設定する場合、VPN ピアデバイスからマルチノード高可用性設定の両方のノードへのトンネルが別個に作成されます。つまり、2つのマルチノード高可用性ノードそれぞれに1つのノードローカルトンネルがあります。

図 3図 4図 5 は、それぞれ、同期されたトンネル、ノードローカル トンネル、および同期されたトンネルとノードローカル トンネルの組み合わせを使用した、マルチノード高可用性 IPSec VPN の導入を示しています。

図 3:トンネルMultinode High Availability Deployment with Synced Tunnelsを同期したマルチノード高可用性導入

上の図は、ピアデバイスとマルチノード高可用性設定間の IPSec VPN トンネルを示しています。IPSec VPN トンネルは、アクティブな SRG1+ に固定されます。トンネルは、アソシエートされた SRG1+ がアクティブな間、アクティブなままです。この導入では、トラフィックはアクティブなトンネル(トンネル 1)を通過します。

図 4: ノードローカル トンネル Multinode High Availability Deployment with Node-Local Tunnelによるマルチノード高可用性導入

上の図では、VPN ピアデバイスとマルチノード高可用性設定の間に 2 つのノードローカルトンネルがあります。各トンネルは、セットアップ内の 2 つのノードのいずれかに接続します。これらのトンネルは、どのSRG1+にも関連付けられていません。一方または両方のトンネルは、いつでもアクティブなままにすることができます。設定されたルーティング プロトコルに基づき、トラフィックはいつでもトンネル 2 またはトンネル 3 を通過します。

図 5:同期トンネルとノードローカルトンネルの組み合わせによるマルチノード高可用性導入 Multinode High Availability Deployment with Combination of Synced Tunnels and Node-Local Tunnels

上の図は、VPN ピアデバイスとマルチノード高可用性設定間の IPSec VPN トンネルを示しています。さらに、この図は、VPN ピアデバイスとマルチノード高可用性設定の間の 2 つのノードローカルトンネルを示しています。

IPSec VPN トンネルは、アクティブな SRG1+ に固定され、関連する SRG1+ がアクティブな間はアクティブなままになります。ノードローカル トンネルの場合、両方のトンネルがアクティブなままになります。

表 3 は、 node-local トンネルと同期トンネルの違いを示しています。

表 3:ノードローカル トンネルと同期トンネルの違い
機能 ノードローカル トンネル 同期トンネル
SRG1+との関連 いいえ はい
マルチノード高可用性ノード間のトンネル情報の同期 いいえ はい
アクティブトンネルの数 2 1

IPSec VPN トンネルをノードローカルトンネルとしてマークする

以下のステートメントを使用して、SRXシリーズファイアウォールで node-local IPSec VPNトンネルを設定できます。

マルチノード高可用性設定の両方のノードに node-local オプションを設定してください。

ルーティングポリシーを設定する際は、必ず 1 つのトンネルにプリファレンスを設定してください。

マルチノード高可用性におけるADVPNサポート

Junos OS リリース 24.2R1 以降、マルチノード高可用性は、ノードローカルトンネルの導入で ADVPN をサポートします。

ノードローカルトンネルは、設定でVPN ピアデバイスから両方のノードへの個別のトンネルを提供することで、マルチノードHAを強化します。ADVPNを使用すると、スポーク間でVPNトンネルを動的に確立できます。ノードローカルトンネルの導入でADVPNとマルチノードHAを組み合わせることで、堅牢なネットワーク接続、効率的なリソース利用、シームレスなフェイルオーバーが保証されます。

ADVPNプロトコルを使用すると、2つのパートナーゲートウェイ間にショートカットパスを作成して、データ配信に最適なパスを確立できます。従来、ハブアンドスポーク型ネットワークでは、2つのスポーク間のトラフィックはハブを通過します。ADVPNでは、ハブは、以前にIPsec SAを確立したピア(スポークデバイス)間のショートカットを推奨します。ショートカットを提案するかどうかは、ハブを介してピアのペア間を流れるトラフィックの期間と量によって異なります。ショートカット パートナーと呼ばれるこれらのピアは、独自のポリシーに従って、この推奨事項を承認または拒否します。

ピアは提案を受け入れ、ピア間に直接 SA(ショートカット)を確立します。各ショートカットに対して、新しいフェーズ1およびフェーズ2のSAが作成されます。このショートカットは、データ配信のより最適なパスを確立するために使用されます。ピア間を流れるすべてのトラフィックは、ピア間のショートカット トンネルを直接経由するようになりました。

ピアが推奨を拒否した場合、ピアは拒否の理由を示す提案者に応答します。この場合、トラフィックは引き続きショートカットサジェスタを通過します。

マルチノード高可用性設定には、アクティブノードとバックアップノードとして機能する2台のSRXシリーズファイアウォールと、ノードローカル構成の2台のVPN ピアデバイスが含まれます。この場合、VPN ピアデバイスとマルチノード高可用性セットアップの間にIPSec VPNトンネルが確立されます。

  • ショートカットサジェスタ:ピア間を移動するトラフィックに気づき、ショートカットを提案します。
  • ショートカット パートナー:ショートカット トンネルを形成するピア デバイスです。ショートカットの交換は、拡張IKEv2プロトコルを介して行われます。

マルチノード高可用性設定では、ノードローカルトンネルを持つVPN ピアデバイスが次の役割を担います。

  • ADVPNショートカットパートナー
  • ADVPNショートカットサジェスタ

ADVPN設定では、SRXシリーズファイアウォールはショートカット提案者またはショートカットパートナーとして機能できますが、一度に提案者とパートナーの両方として機能することはできません。

次の図は、VPN ゲートウェイがショートカットの提案者およびパートナーとして機能する方法を示しています。

  • VPN ピア デバイスはショートカット パートナーとして動作し、2 つのトンネルを確立します。1 つは各マルチノード高可用性ノードに向けてです。この場合、各ノードはショートカット サジェスタとして機能します。
    図 6: ショートカット パートナー VPN Gateway as Shortcut Partnerとしての VPN ゲートウェイ

    図に示すように、次のようになります。

    • マルチノード高可用性の2つのSRXシリーズファイアウォールは、Suggester-1(アクティブノード)とSuggester-2(バックアップノード)のショートカットサジェスタとして機能します。
    • 2 つの VPN ゲートウェイは、Partner-1 と Partner-2 のショートカット パートナーとして機能しています。
    • Partner-1 は 2 つのトンネルを作成します。1 つは Suggester-1 に向かって、もう 1 つは Sugester-2 に向かっています
    • Partner-2 は 2 つのトンネルを作成します。1 つは Suggester-1 に向かって、もう 1 つは Sugester-2 に向かっています
    • Partner-1 から Partner-2 へのトラフィックは Suggester-1 を経由します。Suggester-1 は、Partner-1 と Partner-2 にショートカットを作成するように通知します。
    • アクティブ ノード(suggester-1)に障害が発生し、Suggester-1 から Partner-1 と Partner-2 の両方への両方のトンネルがダウンしている場合、次のようになります。
      • 先に作成したショートカットはアクティブなままですが、Partner-1 から Partner-2 へのトラフィック フローは Suggester-2 を通過します。この場合、Suggester-2 は Partner-1 と Partner-2 の間のショートカットを提案します。ショートカットは Partner-1 と Partner-2 の間に既に存在するため、新しいショートカット Suggester-2 の提案は拒否されます。
  • ショートカット提案者として動作する VPN ピア デバイス。この場合、各マルチノード高可用性ノードはショートカット パートナーとして機能し、VPN ピア デバイスに向けて個別のトンネルを確立します。
    図 7:ショートカット サジェスタとしての VPN ゲートウェイ VPN Gateway as Shortcut Suggester
    • マルチノード高可用性のSRXシリーズファイアウォールは、パートナー-1-Aおよびパートナー-1-Bとして機能しています。
    • 1つのVPNゲートウェイがサジェスタとして機能し、別のSRXシリーズファイアウォールがPartner-2として機能しています。
    • Partner-1-A(アクティブノード)は、Suggesterで静的トンネル(アクティブトンネル)を作成します。
    • Partner-1-B(バックアップノード)は、Suggesterで静的トンネル(バックアップトンネル)を作成します。
    • Partner-1-A から Partner-2 へのトラフィックは Suggester を経由します。
    • Suggester は、Partner-1-A と Partner-2 の間にショートカットを作成することを提案しています。
    • Partner-1-A と Partner-2 は、それらの間にショートカットを作成します。パートナーとサジェスタ間の静的トンネルがダウンしても、ショートカット トンネルには影響しないことに注意してください。静的トンネルがダウンした後も、トラフィックはショートカット トンネルを通過し続けます。

構成のハイライト

  1. SRXシリーズファイアウォールでマルチノード高可用性を設定します。 例:レイヤー 3 ネットワークでのマルチノード高可用性の設定を参照してください。
  2. マルチノード高可用性設定の両方のノードに node-local オプションを設定してください。例:
  3. 必要に応じて、SRXシリーズファイアウォールでショートカットパートナーまたはショートカットサジェスタのロールを設定します。 自動検出 VPN を参照してください

デフォルトでは、IKEゲートウェイ階層で advpn を設定すると、ショートカットサジェスタとショートカットパートナーの両方のオプションが有効になります。その特定の機能を無効にするには、suggester オプションまたは partner オプションを明示的に無効にする必要があります。

制限

  • ADVPN サジェスタの設定は、スポーク設定のパートナー機能である AutoVPN ハブでのみ許可されます。
  • 同じ IKE ゲートウェイで提案者ロールとパートナーロールの両方を構成することはできません
  • ADVPNはIKEv1をサポートしていません
  • NATデバイスの背後にあるパートナー間にショートカットを作成することはできません。