シャーシ クラスタを使用した IPsec VPN トンネル
SRX シリーズ ファイアウォールは、シャーシ クラスタ設定の IPsec VPN トンネルをサポートします。アクティブ/パッシブシャーシクラスターでは、すべてのVPNトンネルが同じノードで終了します。アクティブ/アクティブシャーシクラスターでは、VPNトンネルはどちらのノードでも終了できます。
デュアル アクティブバックアップ IPsec VPN シャーシ クラスターについて
アクティブ/パッシブシャーシクラスタでは、 に示すように、すべてのVPNトンネルが同じノードで 図 1終了します。

アクティブ/アクティブシャーシクラスターでは、VPNトンネルはどちらのノードでも終了できます。に示すように、シャーシ クラスタ内の両方のノードは、両方のノード上の VPN トンネルを同時にトラフィックを積極的に 図 2通過できます。この導入は、 デュアル アクティブバックアップ IPsec VPN シャーシ クラスターとして知られています。

デュアル アクティブバックアップ IPsec VPN シャーシ クラスターでは、以下の機能がサポートされています。
ルートベース VPN のみ。ポリシーベース VPN はサポートされていません。
IKEv1 および IKEv2。
デジタル証明書または事前共有鍵認証。
仮想ルーターのIKEおよびセキュアトンネルインターフェイス(st0)。
ネットワーク アドレス変換トラバーサル(NAT-T)。
VPN監視。
デッドピア検出。
ISSU(インサービス ソフトウェア アップグレード)。
既存のVPNトンネル上のトラフィックを中断することなく、シャーシクラスタデバイスにサービス処理カード(SPC)を挿入します。サービス処理カードの挿入に関するVPNサポートを参照してください。
動的ルーティング プロトコル。
ポイントツーマルチポイント モードで設定されたセキュア トンネル インターフェイス(st0)。
トラフィックセレクターを使用したポイントツーポイントモードでのst0インターフェイスを備えたAutoVPN。
IPv4-in-IPv4、IPv6-in-IPv4、IPv6-in-IPv6、IPv4-in-IPv6 トンネル モード
フラグメント化されたトラフィック。
ループバック インターフェイスは、VPN の外部インターフェイスとして設定できます。
デュアル アクティブバックアップ IPsec VPN シャーシ クラスターは、Z モード フローでは設定できません。Z モード フローは、トラフィックがシャーシ クラスタ ノード上のインターフェイスに入り、ファブリック リンクを通過し、もう一方のクラスタ ノード上のインターフェイスを通過した場合に発生します。
関連項目
例:ループバックインターフェイスの冗長性グループの設定
この例では、VPN 障害を防ぐためにループバック インターフェイスに対して冗長グループ(RG)を設定する方法を示します。冗長性グループは、シャーシ クラスタ設定でフェイルオーバー目的でインターフェイスをグループにバンドルするために使用されます。
要件
この例では、以下のハードウェアとソフトウェアを使用しています。
サポートされているシャーシ クラスター SRX シリーズ ファイアウォールのペア
SSG140 デバイスまたは同等のデバイス
2 台のスイッチ
SRX シリーズ ファイアウォール向け Junos OS リリース 12.1x44-D10 以降
開始する前に、以下を行います。
シャーシ クラスタ冗長イーサネット インターフェイスについて理解する。SRXシリーズデバイス向けシャーシクラスタユーザーガイドを参照してください。
概要
インターネット鍵交換(IKE)ゲートウェイは、ピア デバイスと通信するために外部インターフェイスが必要です。シャーシクラスタ設定では、外部インターフェイスがアクティブなノードが、VPNトンネルをサポートするサービス処理ユニット(SPU)を選択します。IKEおよびIPsecパケットはそのSPUで処理されます。そのため、アクティブな外部インターフェイスがアンカー SPU を決定します。
シャーシ クラスタの設定では、外部インターフェイスは冗長イーサネット インターフェイスです。冗長イーサネット インターフェイスは、物理(子)インターフェイスがダウンした場合にダウンする可能性があります。ループバックインターフェイスを、ピアゲートウェイに到達するための代替物理インターフェイスとして設定できます。ループバック インターフェイスは、任意の冗長性グループで設定できます。アクティブなインターフェイスを介してアンカーSPUを見つける必要があるVPNパケットのみがあるため、この冗長性グループ設定はVPNパケットでのみチェックされます。
lo0.0はデフォルトの仮想ルーターであり、仮想ルーターでは1つのループバックインターフェイスしか許可されないので、カスタム仮想ルーターでlo0.xを設定する必要があります。
図 3 は、ループバックシャーシクラスタVPNトポロジーの例を示しています。このトポロジーでは、SRX シリーズ ファイアウォール シャーシ クラスター デバイスがカリフォルニア州サニーベールにあります。SRX シリーズ ファイアウォール シャーシ クラスター デバイスは、この設定で単一のゲートウェイとして機能します。SSG シリーズ デバイス(またはサードパーティー製デバイス)はイリノイ州シカゴにあります。このデバイスは、SRXシャーシクラスタへのピアデバイスとして機能し、VPNトンネルの構築に役立ちます。

設定
手順
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces lo0 unit 1 family inet address 10.3.3.3/30 set routing-instances vr1 instance-type virtual-router set routing-instances vr1 interface lo0.1 set routing-instances vr1 interface reth0.0 set routing-instances vr1 interface reth1.0 set routing-instances vr1 interface st0.0 set routing-instances vr1 routing-options static route 192.168.168.1/24 next-hop st0.0 set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposal-set standard set security ike policy ike-policy1 pre-shared-key ascii-text "$ABC123" set security ike gateway t-ike-gate ike-policy ike-policy1 set security ike gateway t-ike-gate address 10.2.2.2 set security ike gateway t-ike-gate external-interface lo0.1 set security ipsec proposal p2-std-p1 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p1 encryption-algorithm 3des-cbc set security ipsec proposal p2-std-p1 lifetime-seconds 180 set security ipsec proposal p2-std-p2 authentication-algorithm hmac-sha1-96 set security ipsec proposal p2-std-p2 encryption-algorithm aes-128-cbc set security ipsec proposal p2-std-p2 lifetime-seconds 180 set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2 set security ipsec policy vpn-policy1 proposals p2-std-p1 set security ipsec policy vpn-policy1 proposals p2-std-p2 set security ipsec vpn t-ike-vpn bind-interface st0.0 set security ipsec vpn t-ike-vpn ike gateway t-ike-gate set security ipsec vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 set security ipsec vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 set security ipsec vpn t-ike-vpn ike ipsec-policy vpn-policy1
手順
ループバック インターフェイスの冗長グループを設定するには:
1 つの冗長グループでループバック インターフェイスを設定します。
[edit interfaces] user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
ループバックインターフェイスのIPアドレスを設定します。
[edit interfaces] user@host# set lo0 unit 1 family inet address 10.3.3.3/30
ルーティングオプションを設定します。
[edit routing-instances] user@host# set vr1 instance-type virtual-router user@host# set vr1 interface lo0.1 user@host# set vr1 interface reth0.0 user@host# set vr1 interface reth1.0 user@host# set vr1 interface st0.0 user@host# set vr1 routing-options static route 192.168.168.1/24 next-hop st0.0
ループバックインターフェイスをIKEゲートウェイの外部インターフェイスとして設定します。
[edit security ike] user@host# set policy ike-policy1 mode main user@host# set policy ike-policy1 proposal-set standard user@host# set policy ike-policy1 pre-shared-key ascii-text "$ABC123" user@host# set gateway t-ike-gate ike-policy ike-policy1 user@host# set gateway t-ike-gate address 10.2.2.2 user@host# set gateway t-ike-gate external-interface lo0.1
IPsecプロポーザルを設定します。
[edit security ipsec] user@host# set proposal p2-std-p1 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p1 encryption-algorithm 3des-cbc user@host# set proposal p2-std-p1 lifetime-seconds 180 user@host# set proposal p2-std-p2 authentication-algorithm hmac-sha1-96 user@host# set proposal p2-std-p2 encryption-algorithm aes-128-cbc user@host# set proposal p2-std-p2 lifetime-seconds 180 user@host# set policy vpn-policy1 perfect-forward-secrecy keys group2 user@host# set policy vpn-policy1 proposals p2-std-p1 user@host# set policy vpn-policy1 proposals p2-std-p2 user@host# set vpn t-ike-vpn bind-interface st0.0 user@host# set vpn t-ike-vpn ike gateway t-ike-gate user@host# set vpn t-ike-vpn ike proxy-identity local 10.10.10.1/24 user@host# set vpn t-ike-vpn ike proxy-identity remote 192.168.168.1/24 user@host# set vpn t-ike-vpn ike ipsec-policy vpn-policy1
結果
設定モードから、 、show security ike
show routing-instances
および のコマンドをshow interfaces lo0
入力して設定をshow security ipsec
確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces lo0 unit 1 { family inet { address 10.3.3.3/30; } } redundant-pseudo-interface-options { redundancy-group 1; }
[edit] user@host# show routing-instances vr1 { instance-type virtual-router; interface lo0.1; interface reth0.0; interface reth1.0; interface st0.0; routing-options { static { route 192.168.168.1/24 next-hop st0.0; } } }
[edit] user@host# show security ike policy ike-policy1 { mode main; proposal-set standard; pre-shared-key ascii-text "$ABC123"; } gateway t-ike-gate { ike-policy ike-policy1; address 10.2.2.2; external-interface lo0.1; }
[edit] user@host# show security ipsec proposal p2-std-p1 { authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 180; } proposal p2-std-p2 { authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; lifetime-seconds 180; } policy vpn-policy1 { perfect-forward-secrecy { keys group2; } proposals [ p2-std-p1 p2-std-p2 ]; } policy vpn-policy2 { perfect-forward-secrecy { keys group2; } proposals [ p2-std-p1 p2-std-p2 ]; } vpn t-ike-vpn { bind-interface st0.0; ike { gateway t-ike-gate; proxy-identity { local 10.10.10.1/24; remote 192.168.168.1/24; } ipsec-policy vpn-policy1; } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定の検証
目的
ループバック インターフェイスの冗長性グループの設定が正しいことを確認します。
対処
動作モードから、 コマンドを show chassis cluster interfaces 入力します。
user@host> show chassis cluster interfaces Control link status: Up Control interfaces: Index Interface Status 0 em0 Up 1 em1 Down Fabric link status: Up Fabric interfaces: Name Child-interface Status fab0 ge-0/0/7 Up / Up fab0 fab1 ge-13/0/7 Up / Up fab1 Redundant-ethernet Information: Name Status Redundancy-group reth0 Up 1 reth1 Up 1 reth2 Up 1 reth3 Down Not configured reth4 Down Not configured Redundant-pseudo-interface Information: Name Status Redundancy-group lo0 Up 1
意味
コマンドは show chassis cluster interfaces 、シャーシ クラスタ インターフェイス情報を表示します。冗長疑似インターフェイス情報フィールドのステータスがlo0インターフェイスをUpとして、冗長イーサネット情報フィールドのステータスがreth0、reth1、reth2フィールドをUpと表示している場合、設定は正しいです。