シャーシ クラスタを使用した IPsec VPN トンネル
SRX シリーズ ファイアウォールは、シャーシ クラスタ設定の IPsec VPN トンネルをサポートします。アクティブ/パッシブシャーシクラスターでは、すべてのVPNトンネルが同じノードで終了します。アクティブ/アクティブシャーシクラスターでは、VPNトンネルはどちらのノードでも終了できます。
デュアル アクティブバックアップ IPsec VPN シャーシ クラスターについて
アクティブ/パッシブシャーシクラスタでは、 に示すように、すべてのVPNトンネルが同じノードで 図 1終了します。
アクティブ/アクティブシャーシクラスターでは、VPNトンネルはどちらのノードでも終了できます。に示すように、シャーシ クラスタ内の両方のノードは、両方のノード上の VPN トンネルを同時にトラフィックを積極的に 図 2通過できます。この導入は、 デュアル アクティブバックアップ IPsec VPN シャーシ クラスターとして知られています。
デュアル アクティブバックアップ IPsec VPN シャーシ クラスターでは、以下の機能がサポートされています。
ルートベース VPN のみ。ポリシーベース VPN はサポートされていません。
IKEv1 および IKEv2。
デジタル証明書または事前共有鍵認証。
仮想ルーターのIKEおよびセキュアトンネルインターフェイス(st0)。
ネットワーク アドレス変換トラバーサル(NAT-T)。
VPN監視。
デッドピア検出。
ISSU(インサービス ソフトウェア アップグレード)。
既存のVPNトンネル上のトラフィックを中断することなく、シャーシクラスタデバイスにサービス処理カード(SPC)を挿入します。サービス処理カードの挿入に関するVPNサポートを参照してください。
動的ルーティング プロトコル。
ポイントツーマルチポイント モードで設定されたセキュア トンネル インターフェイス(st0)。
トラフィックセレクターを使用したポイントツーポイントモードでのst0インターフェイスを備えたAutoVPN。
IPv4-in-IPv4、IPv6-in-IPv4、IPv6-in-IPv6、IPv4-in-IPv6 トンネル モード
フラグメント化されたトラフィック。
ループバック インターフェイスは、VPN の外部インターフェイスとして設定できます。
デュアル アクティブバックアップ IPsec VPN シャーシ クラスターは、Z モード フローでは設定できません。Z モード フローは、トラフィックがシャーシ クラスタ ノード上のインターフェイスに入り、ファブリック リンクを通過し、もう一方のクラスタ ノード上のインターフェイスを通過した場合に発生します。
関連項目
例:ループバックインターフェイスの冗長性グループの設定
この例では、VPN 障害を防ぐためにループバック インターフェイスに対して冗長グループ(RG)を設定する方法を示します。冗長性グループは、シャーシ クラスタ設定でフェイルオーバー目的でインターフェイスをグループにバンドルするために使用されます。
要件
この例では、以下のハードウェアとソフトウェアを使用しています。
サポートされているシャーシ クラスター SRX シリーズ ファイアウォールのペア
SSG140 デバイスまたは同等のデバイス
2 台のスイッチ
SRX シリーズ ファイアウォール向け Junos OS リリース 12.1x44-D10 以降
開始する前に、以下を行います。
シャーシ クラスタ冗長イーサネット インターフェイスについて理解する。SRXシリーズデバイス向けシャーシクラスタユーザーガイドを参照してください。
概要
インターネット鍵交換(IKE)ゲートウェイは、ピア デバイスと通信するために外部インターフェイスが必要です。シャーシクラスタ設定では、外部インターフェイスがアクティブなノードが、VPNトンネルをサポートするサービス処理ユニット(SPU)を選択します。IKEおよびIPsecパケットはそのSPUで処理されます。そのため、アクティブな外部インターフェイスがアンカー SPU を決定します。
シャーシ クラスタの設定では、外部インターフェイスは冗長イーサネット インターフェイスです。冗長イーサネット インターフェイスは、物理(子)インターフェイスがダウンした場合にダウンする可能性があります。ループバックインターフェイスを、ピアゲートウェイに到達するための代替物理インターフェイスとして設定できます。ループバック インターフェイスは、任意の冗長性グループで設定できます。アクティブなインターフェイスを介してアンカーSPUを見つける必要があるVPNパケットのみがあるため、この冗長性グループ設定はVPNパケットでのみチェックされます。
lo0.0はデフォルトの仮想ルーターであり、仮想ルーターでは1つのループバックインターフェイスしか許可されないので、カスタム仮想ルーターでlo0.xを設定する必要があります。
図 3 は、ループバックシャーシクラスタVPNトポロジーの例を示しています。このトポロジーでは、SRX シリーズ ファイアウォール シャーシ クラスター デバイスがカリフォルニア州サニーベールにあります。SRX シリーズ ファイアウォール シャーシ クラスター デバイスは、この設定で単一のゲートウェイとして機能します。SSG シリーズ デバイス(またはサードパーティー製デバイス)はイリノイ州シカゴにあります。このデバイスは、SRXシャーシクラスタへのピアデバイスとして機能し、VPNトンネルの構築に役立ちます。
設定
手順
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces lo0 unit 1 family inet address 10.3.3.3/30 set routing-instances vr1 instance-type virtual-router set routing-instances vr1 interface lo0.1 set routing-instances vr1 interface reth0.0 set routing-instances vr1 interface reth1.0 set routing-instances vr1 interface st0.0 set routing-instances vr1 routing-options static route 192.168.168.1/24 next-hop st0.0 set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposal-set standard set security ike policy ike-policy1 pre-shared-key ascii-text "$ABC123" set security ike gateway t-ike-gate ike-policy ike-policy1 set security ike gateway t-ike-gate address 10.2.2.2 set security ike gateway t-ike-gate external-interface lo0.1 set security ipsec proposal p2-std-p1 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p1 encryption-algorithm 3des-cbc set security ipsec proposal p2-std-p1 lifetime-seconds 180 set security ipsec proposal p2-std-p2 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p2 encryption-algorithm aes-128-cbc set security ipsec proposal p2-std-p2 lifetime-seconds 180 set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2 set security ipsec policy vpn-policy1 proposals p2-std-p1 set security ipsec policy vpn-policy1 proposals p2-std-p2 set security ipsec vpn t-ike-vpn bind-interface st0.0 set security ipsec vpn t-ike-vpn ike gateway t-ike-gate set security ipsec vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 set security ipsec vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 set security ipsec vpn t-ike-vpn ike ipsec-policy vpn-policy1
手順
ループバック インターフェイスの冗長グループを設定するには:
1 つの冗長グループでループバック インターフェイスを設定します。
[edit interfaces] user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
ループバックインターフェイスのIPアドレスを設定します。
[edit interfaces] user@host# set lo0 unit 1 family inet address 10.3.3.3/30
ルーティングオプションを設定します。
[edit routing-instances] user@host# set vr1 instance-type virtual-router user@host# set vr1 interface lo0.1 user@host# set vr1 interface reth0.0 user@host# set vr1 interface reth1.0 user@host# set vr1 interface st0.0 user@host# set vr1 routing-options static route 192.168.168.1/24 next-hop st0.0
ループバックインターフェイスをIKEゲートウェイの外部インターフェイスとして設定します。
[edit security ike] user@host# set policy ike-policy1 mode main user@host# set policy ike-policy1 proposal-set standard user@host# set policy ike-policy1 pre-shared-key ascii-text "$ABC123" user@host# set gateway t-ike-gate ike-policy ike-policy1 user@host# set gateway t-ike-gate address 10.2.2.2 user@host# set gateway t-ike-gate external-interface lo0.1
IPsecプロポーザルを設定します。
[edit security ipsec] user@host# set proposal p2-std-p1 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p1 encryption-algorithm 3des-cbc user@host# set proposal p2-std-p1 lifetime-seconds 180 user@host# set proposal p2-std-p2 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p2 encryption-algorithm aes-128-cbc user@host# set proposal p2-std-p2 lifetime-seconds 180 user@host# set policy vpn-policy1 perfect-forward-secrecy keys group2 user@host# set policy vpn-policy1 proposals p2-std-p1 user@host# set policy vpn-policy1 proposals p2-std-p2 user@host# set vpn t-ike-vpn bind-interface st0.0 user@host# set vpn t-ike-vpn ike gateway t-ike-gate user@host# set vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 user@host# set vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 user@host# set vpn t-ike-vpn ike ipsec-policy vpn-policy1
結果
設定モードから、 、show security ikeshow routing-instancesおよび のコマンドをshow interfaces lo0入力して設定をshow security ipsec確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces lo0
unit 1 {
family inet {
address 10.3.3.3/30;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
[edit]
user@host# show routing-instances
vr1 {
instance-type virtual-router;
interface lo0.1;
interface reth0.0;
interface reth1.0;
interface st0.0;
routing-options {
static {
route 192.168.168.1/24 next-hop st0.0;
}
}
}
[edit]
user@host# show security ike
policy ike-policy1 {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$ABC123";
}
gateway t-ike-gate {
ike-policy ike-policy1;
address 10.2.2.2;
external-interface lo0.1;
}
[edit]
user@host# show security ipsec
proposal p2-std-p1 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 180;
}
proposal p2-std-p2 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
lifetime-seconds 180;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
policy vpn-policy2 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
vpn t-ike-vpn {
bind-interface st0.0;
ike {
gateway t-ike-gate;
proxy-identity {
local 10.10.10.1/24;
remote 192.168.168.1/24;
}
ipsec-policy vpn-policy1;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定の検証
目的
ループバック インターフェイスの冗長性グループの設定が正しいことを確認します。
対処
動作モードから、 コマンドを show chassis cluster interfaces 入力します。
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Status
0 em0 Up
1 em1 Down
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status
fab0 ge-0/0/7 Up / Up
fab0
fab1 ge-13/0/7 Up / Up
fab1
Redundant-ethernet Information:
Name Status Redundancy-group
reth0 Up 1
reth1 Up 1
reth2 Up 1
reth3 Down Not configured
reth4 Down Not configured
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 1
意味
コマンドは show chassis cluster interfaces 、シャーシ クラスタ インターフェイス情報を表示します。冗長疑似インターフェイス情報フィールドのステータスがlo0インターフェイスをUpとして、冗長イーサネット情報フィールドのステータスがreth0、reth1、reth2フィールドをUpと表示している場合、設定は正しいです。