Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

例:レイヤー 3 ネットワークの SRXシリーズ ファイアウォールでアクティブ/アクティブ マルチノード高可用性で IPSec VPN を構成する

この例では、アクティブ/アクティブ型マルチノード高可用性セットアップ用の IPsec VPN を構成および検証する方法を示します。

概要

マルチノードの高可用性は、複数のSRG1(SRG1+)を使用してアクティブ/アクティブモードでIPsec VPNをサポートします。各SRGは2つのノード間でアクティブバックアップモードで動作しますが、異なるノードで異なるSRGをアクティブにすることができます。このモデルでは、複数のアクティブなIPsecトンネルを両方のノードから同時に確立できるため、両方のノードで暗号化と復号化が可能になり、帯域幅の使用率が向上します。

この例では、2つのファイアウォール間にマルチノード高可用性(MNHA)を設定し、MNHAファイアウォールペアからピアデバイスへの高可用性IPsec VPNトンネルを確立します。MNHA設定におけるファイアウォール間のシームレスなフェイルオーバーにより、IPsecトンネルの確立と維持に成功できるようにすることに重点が置かれています。

前提条件の例

ソフトウェア要件

  • Junos OSリリース22.4R1以降を搭載したサポートされているファイアウォールデバイス。この例は、Junos OSリリース25.4R1でテストされています。

  • ネットワーク要件に従ってファイアウォールフィルタリングとサービス品質(QoS)を設定し、ネットワーク内のトラフィックを管理するための適切なセキュリティポリシーを設定します。

  • 一般的な高可用性セットアップでは、ノースバウンド側とサウスバウンド側の両方で複数のルーターとスイッチを使用します。この例では、ファイアウォールの両側に 2 台のルーターを使用します。ネットワーク要件に応じて、すべてのアップストリームおよびダウンストリームルーターを設定します。

  • request system software add optional://junos-ike.tgzコマンドを使用して、セキュリティデバイスにJunos IKEパッケージをインストールします。junos-ikeパッケージは、Junosソフトウェアパッケージ(リリース20.4R1以降Junos OS)に含まれています。

始める前に

利点

MNHA設定におけるアクティブ/アクティブIPsec VPNは、両方のノードがVPNトラフィックを同時に終了および転送できるようにすることで、可用性とパフォーマンスを向上させ、負荷の共有、コンバージェンスの高速化、障害時のトラフィック中断の最小化を可能にします。

詳細はこちら

MNHAでのアクティブ/アクティブモードのIPsec VPN

詳細はこちら

IPsec VPNユーザーガイド

機能の概要

使用されたテクノロジー
  • マルチノードの高可用性
  • IPsec VPN
  • 監視オプション
  • インターフェイスとゾーン
  • ルーティングポリシー、プロトコル、ルーティングオプション

一次検証タスク
  • 両方のノードに関する高可用性情報
  • ピアデバイスからMNHAセットアップへのIPsec VPN接続

トポロジーの概要

図1 は、この例で使用されているトポロジーを示しています。

図1:レイヤー3導入Active/Active Multinode High Availability in Layer 3 Deploymentにおけるアクティブ/アクティブマルチノードの高可用性

このトポロジーは、マルチノード高可用性(MNHA)を使用して、2つのファイアウォールでMNHAクラスターを形成し、リモートファイアウォール(SRX-03)へのIPsec VPNトンネルを確立して、アクティブ/アクティブIPsec VPNの導入を示しています。

SRX-03デバイスは、MNHAセットアップのピアデバイスとして機能し、それぞれSRX-01およびSRX-02デバイスで個々のIPsec VPNトンネルを確立します。SRX-03の観点から見ると、MNHAペアは単一の論理VPNエンドポイントとして機能します。

内部ホストからのトラフィックは、ルーター1→MNHAセットアップ→IPsecトンネル→ルーター2→SRX-03→ルーター3を通過します。リターントラフィックは、同じ暗号化されたパスをたどります。この例では、SRX-03(ピアデバイス)が接続されているルーター3からリモートホストPCが接続されているルーター1へのトラフィックの到達可能性を検証します。

  • SRX-01およびSRX-02は、複数のSRG(SRG1+)を備えたMNHAペアとして動作し、両方のノードでトラフィックをアクティブに処理できます。
  • 各SRGは内部でアクティブバックアップモードで動作し、ソリューション全体はSRG間でアクティブ-アクティブVPN転送を提供します。
  • ノードは、フローティング ループバック IP アドレスを使用して、制御状態と VPN 状態を同期し、HA リンク ゾーン内のルーティングされた暗号化されたシャーシ間リンク(ICL)を介して接続されます。この例では、リンクは中間のルーティングネットワークを経由するのではなく、デバイス間でge-0/0/2.0インターフェイスを直接使用しています。
  • トラストゾーンインターフェイスは、ルーター1(AS 65030)を介してMNHAクラスターを内部ネットワークに接続します。
  • 信頼できないゾーンのインターフェイスは、SRX-01とSRX-02の両方をルーター2(AS 65035)に接続し、リモートVPNサイトへのアップストリーム到達性を提供します。
  • 各SRXのループバックインターフェイス(lo0.0)はフローティングIPアドレスをホストしています。
  • SRX-03は、MNHAクラスターからIPsec VPNトンネルを終端し、ルーター3に接続します。
  • リモートSRXは、独自のループバックインターフェイスをVPNエンドポイントとして使用し、物理インターフェイスの状態に関係なくトンネルの安定性を確保します。
  • VPNインターフェイスはVPNゾーンに配置され、暗号化されたトラフィックを信頼できないトランジットネットワークから分離します。
  • MNHAクラスターとSRX-03の間には、異なるSRGにバインドされた複数のIPsecトンネルが確立されています。ノードまたはSRGに障害が発生した場合、VPNエンドポイントはフローティングIPアドレスを使用するため、トラフィックはトンネルの再ネゴシエーションなしで、残りのアクティブなSRGにリダイレクトされます。

以下の表は、この例で使用されているインターフェイス設定の詳細を示しています。

表1:セキュリティデバイス上のインターフェイスとIPアドレス設定
デバイス インターフェース ゾーン IPアドレス 設定対象
SRX-01 lo0.0

信頼できない

10.11.0.1/32

フローティングIPアドレス

IKEゲートウェイアドレス

10.12.0.1/32

IKEゲートウェイアドレス

ge-0/0/2.0

HAリンク

10.22.0.2/24

ICLの接続

ge-0/0/4.0

信頼できない

10.5.0.1/24

R2 ルーターに接続します。

ge-0/0/3.0

信頼

10.3.0.2/24

R1 ルーターに接続します
SRX-02

lo0.0

信頼できない

10.12.0.1/32

フローティングIPアドレス

IKEゲートウェイアドレス

10.11.0.1/32

IKEゲートウェイアドレス

ge-0/0/2.0

HAリンク

10.22.0.1/24

ICLの接続

ge-0/0/3.0

信頼

10.2.0.2/24

R1 ルーターに接続します

ge-0/0/4.0

信頼できない

10.4.0.1/24

R2 ルーターに接続します。
SRX-03 lo0.0

信頼できない

10.112.0.1/32

IKEゲートウェイアドレス

10.112.0.5/32

IKEゲートウェイアドレス

ge-0/0/0.0

信頼できない

10.7.0.1/24

R2 ルーターに接続します。

ge-0/0/1.0

信頼

10.6.0.2/24

ルーターを接続
表2:ルーティングデバイス上のインターフェイスとIPアドレス設定
デバイス インターフェース IPアドレス 設定対象
ルーター2(R2) lo0

10.111.0.2/32

R2のループバックインターフェイスアドレス

ge-0/0/1

10.4.0.2/24

接続先 SRX-02

ge-0/0/0

10.5.0.2/24

接続先 SRX-01

ge-0/0/2

10.7.0.2/24

SRX-03(VPNピアデバイス)に接続します。
ルーター1(R1) lo0

10.111.0.1/32

R1のループバックインターフェイスアドレス

ge-0/0/0

10.3.0.1/24

接続先 SRX-01

ge-0/0/1

10.2.0.1/24

接続先 SRX-02
  • ge-0/0/2.100
  • ge-0/0/2.101
  • 10.1.0.1/24
  • 10.1.1.1/24
 ホストネットワークに接続します
ルーター3(R3)

ge-0/0/0

10.6.0.1/24

接続先 SRX-03
lo0

10.6.255.1/32

R3のループバックインターフェイスアドレス

ファイアウォールの設定

  1. ICL、内部および外部トラフィックのインターフェイスを設定し、ループバックインターフェイス lo0.0 をフローティングIPアドレスで設定して、ピアゲートウェイに到達します。フローティングIPアドレスとして10.11.0.1を、IKEゲートウェイアドレスとして10.12.0.1を使用します。
    • ノード1
    • ノード2
  2. ネットワークの必要に応じてセキュリティゾーンを設定し、必要なホストインバウンドシステムサービスを許可します。
    • ノード1
    • ノード2
    注意:

    このドキュメントで提供される設定例では、簡素化のためにすべてのホスト インバウンド プロトコルとサービスを使用できます。実稼働環境では、インバウンドアクセスを、環境に必要なプロトコルとサービスのみに制限する必要があります。MNHAの設定では、通常、この設定にはIKE、BGP、BFDの許可が含まれます。ネットワークとセキュリティの要件に合わせてセキュリティルールを常に調整します。
  3. セキュリティポリシーを設定します。
    注意:

    この例に示されているセキュリティポリシーは、デモとテストのみを目的としています。ネットワークのニーズに応じてセキュリティポリシーを設定する必要があります。セキュリティポリシーで、信頼できるアプリケーション、ユーザー、デバイスのみが許可されるようにしてください。

    ノード1およびノード2

  4. 両方のセキュリティデバイスでローカルノードIDとピアノードIDを設定します。各デバイスがMNHAペアでの役割を決定できるように、一意の識別子を割り当てます。
    • ノード1
    • ノード2
  5. サービス冗長性グループSRG1およびSRG2を設定します。必要に応じて個別の冗長性グループを使用して、異なるサービスセットのフェイルオーバーを管理します。
    1. ノード1
      • SRG1
    2. SRG2

      IP監視とアクティビティプローブ用に最大64個のIPアドレスを設定できます。合計64個のIPアドレスは、IPv4アドレスとIPv6アドレスの数の合計です。

    • ノード2
      • SRG1
      • SRG2
  6. ルーティングポリシーとルーティングオプションを設定します。MNHAフェイルオーバーとトラフィックステアリングをサポートするルート設定とポリシーを定義します。このステップでは、以下を設定します。
    • MNHAノード間でのアクティブ/アクティブトラフィック分散
    • SRGごとのポリシー制御BGPアドバタイズメント
    • BFD監視を設定します。BFDは、保護されたリンクとパスの障害を迅速に検出します。
    • 対称IPsecトラフィックフォワーディング

    • SRGプレフィックスを定義します。プレフィックスリストは、SRGに関連付けられるルート(プレフィックス)を定義し、それらのプレフィックスのトラフィックがSRGに誘導され、SRGによって処理されるようにします。

      ノード1 ノード2

    • ルートフィルターリストを作成して、アドバタイズ可能なルートを指定します。

      ノード1 ノード2

    • MNHAルートエクスポートポリシーを設定します。この設定では、アクティブなときに優先メトリック(メトリック10)で、バックアップ時に優先度の低いメトリック(メトリック20)でルートをアドバタイズします。

      ノード1 ノード2

    • 条件付きヘルスチェックを定義します。この設定では、ルートの存在に基づいて、ノードが各SRGに対してアクティブかバックアップかを決定します。

      ノード1 ノード2
      注:policy-optionsステートメントでroute-existsポリシーとともにアクティブな信号ルートを指定する必要があります。 if-route-exists条件で active-signal-routeを設定すると、HAモジュールこのルートをルーティングテーブルに追加します。
      注:

      アクティブな信号ルート10.39.1.1(SRG1)と10.49.1.1(SRG2)を if-route-exists 一致条件で設定します。MNHAは、ノードがアクティブになるとこれらのルートを追加し、ノードはより高い優先度でルートをアドバタイズします。バックアップ信号ルート10.39.1.2および10.49.1.2を、スタンバイノードに対して中優先度で設定します。障害が発生すると、HAリンクがダウンし、アクティブノードはプライマリロールをドロップし、アクティブな信号ルートを削除します。バックアップ ノードはプローブを介してこれを検出し、アクティブになり、ルート優先度が増加してすべてのトラフィックを受け取ります。

    • BGPを設定します。

      ノード1 ノード2
  7. BGPの条件に必要なベース到達可能性を設定します。
    • ノード1
    • ノード2
  8. ICLを暗号化します。IKEv2を使用してICL高可用性トラフィック用のVPNプロファイルを設定し、ICLを介したMNHA制御と状態同期を保護するIKEおよびIPsecパラメーターを定義します。

    • ノード1およびノード2

      注:

      • ha-link-encryptionオプションを指定すると、ICLが暗号化され、ノード間の高可用性トラフィックフローが保護されます。

      • set chassis high-availability peer-id <id> vpn-profile vpn_profile設定でvpn_profileに同じVPN名ICL_IPSEC_VPN言及する必要があります。

      • マルチノード高可用性機能では、IKEバージョンを v2-only

  9. IPsec VPNオプションを設定してSRX-03とのトンネルを確立し、グループオプションを使用して、両方のデバイスでIPsec VPN設定の同期を有効にします。
    ノード1およびノード2
    • SRG1 および SRG2 の IPSec VPN 設定

      上記の設定では、SRG1 VPN(SRG1_IPSEC_VPN1)は明示的なトラフィックセレクターなしでルートベースの転送に依存していますが、SRG2(SRG2_IPSEC_VPN500)はトラフィックセレクターを使用します。トラフィックセレクターは、トラフィックを暗号化してIPsecトンネルを介して送信する必要がある正確なローカルおよびリモートIPを定義します。st0インターフェイスへのスタティックルートにより、一致するトラフィックがデフォルトの転送パスではなくVPNトンネルに確実に転送されます。導入によっては、どちらのアプローチも使用できます。

VPNピアデバイス上の設定

一致するIPsec VPNオプションを使用してVPNピアデバイスSRX-03を設定します。トンネルを正常に立ち上げるために、IKEおよびIPsecパラメータ(ピア、プロポーザル、ポリシー)がSRX-01およびSRX-02のこれらのオプションと一致していることを確認します。

  1. IKEエンドポイントとして使用されるループバックアドレスを使用して、信頼、信頼なし、およびVPN接続を確立するようにインターフェイスを設定します。
  2. セキュリティゾーンを定義します。
  3. IKEプロポーザルを作成します。
  4. IKEポリシーを定義します。
  5. IKEゲートウェイを作成し、アドレスを定義し、外部インターフェイスとバージョンを指定します。
  6. IPsecプロポーザルを作成します。
  7. IPsecポリシーを作成します。
  8. SRG1 と SRG2 用に個別の IKE ゲートウェイと IPsec VPN を作成します。

    このステップでは、SRG1 VPN用の静的ルート(SRG1_IPSEC_VPN1)とSRG2用のトラフィックセレクター(SRG2_IPSEC_VPN500)という同じ設定アプローチを使用して、MNHA設定のIPsec VPN設定に合わせます。

  9. セキュリティポリシーを作成します。

    この例では、すべてのトラフィックを許可するポリシーを設定しました。ネットワーク要件に従ってセキュリティポリシーを作成し、組織のポリシーで許可されているトラフィックを許可し、それ以外のトラフィックはすべて拒否することを強くお勧めします。この例では、デモ目的でのみデフォルトポリシーを使用しています。

  10. 静的ルートを設定します。

検証

showコマンドを使用して、設定が正しく機能していることを確認します。

表3:検証用のshowコマンド
コマンド 検証タスク

show chassis high-availability information

ピアノードのヘルスステータスなど、セキュリティデバイス上のMNHAステータスの詳細を表示します。
show securiti ike security-associationsshow securiti ipsec security-associations

IPsec VPN接続に関するステータスの表示

マルチノード高可用性セットアップの確認

目的

セキュリティデバイスに設定されたマルチノード高可用性設定の詳細を表示および検証します。

アクション

動作モードから、以下のコマンドを実行します。

SRX-01

SRX-02

意味

コマンド出力からこれらの詳細を確認します。

  • ローカルノードとピアノードの詳細(IP アドレスや ID など)

  • フィールド Encrypted: YES は、トラフィックが保護されていることを示します。

  • フィールド Deployment Type: ROUTING は、レイヤー3モード設定、つまり、ネットワークの両側にルーターがあることを示します。

  • フィールド Services Redundancy Group: 1Services Redundancy Group: 2 は、そのノード上のSRG1およびSRG2のステータス(アクティブまたはバックアップ)を示します。

マルチノード高可用性サービス冗長性グループの確認

目的

SRG が正しく設定され、動作していることを確認します。

アクション

動作モードから、以下のコマンドを実行します。

意味

コマンド出力からこれらの詳細を確認します。

  • 導入タイプ、ステータス、アクティブおよびバックアップ信号ルートなどのピアノードの詳細。

  • スプリットブレイン防止プローブ、IP監視、BFD監視ステータス。

  • 関連付けられたIPプレフィックステーブル。

IPsec VPNステータスの確認

目的

SRGレベルでIKEセキュリティアソシエーションのステータスを確認して、IKEステータスを確認します。

アクション

SRX-01、SRX-02、およびSRX-03(VPNピアデバイス)で以下のコマンドを実行します。

SRX-01

SRX-02

SRX-03

意味

コマンド出力からこれらの詳細を確認します。

  • リモートピアのIPアドレス。
  • 両方のリモートピアでUPと表示されている状態は、フェーズ1とフェーズ2の確立が成功したことを示しています。
  • リモートピアIPアドレス、IKEポリシー、外部インターフェイスはすべて正しい。
  • IPsecトンネルは稼働しており、トラフィックをアクティブに通過させ、エラーなく動作しています

VPN全体におけるトラフィックフローのテスト

目的

VPN全体のトラフィックフローを検証します。

アクション

ピアVPNファイアウォール(SRX-03)に接続されているルーター3から ping コマンドを使用して、ホストが接続されているルーター1へのトラフィックフローをテストします。

動作モードから、 ping コマンドを入力します。

意味

このping出力は、リモートサイトと内部ネットワーク間のIPsec VPNを介してエンドツーエンドの接続が成功したことを確認します。

pingコマンドが失敗した場合は、ルーティング、セキュリティポリシー、エンドホスト、ESPパケットの暗号化と復号化に問題がある可能性があります

シャーシ間リンク(ICL)暗号化ステータスの確認

目的

シャーシ間リンク(ICL)ステータスを確認します。

アクション

SRX-01で以下のコマンドを実行します。

意味

コマンド出力は、MNHA ICLリンクの暗号化に使用されるIPsec SAを提供します。SRX-01とSRX-02間の制御、ルーティング、状態の同期トラフィックを保護します

注意:

コマンド出力に示されているIP範囲(180.100.1.x)は、ICL IPsecトラフィックセレクターとして機能します。このIP範囲はシステムによって動的に割り当てられるため、変更や修正を行わないことが不可欠です。さらに、BFD(双方向フォワーディング検出)が、より広い180.x.x.x IP範囲に対して自動的に有効になります。

すべてのデバイスでコマンドを設定する

vSRX仮想ファイアウォール(SRX-01)

vSRX仮想ファイアウォール(SRX-02)

vSRX仮想ファイアウォール(SRX-03)

ルーター1

ルーター2

ルーター3

show configuration出力

設定モードから、 show high availabilityshow security zonesshow interfaces コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

vSRX仮想ファイアウォール(SRX-01)

vSRX仮想ファイアウォール(SRX-02)

vSRX仮想ファイアウォール(SRX-03)

関連項目