멀티노드 고가용성에서의 IPsec VPN 지원
활성 백업 모드의 IPsec VPN
SRX 시리즈 방화벽은 멀티노드 고가용성 설정에서 IPsec VPN 터널을 지원합니다. Junos OS 릴리스 22.4R1 이전에는 IPsec VPN 터널이 SRG1에 고정되며, SRG1은 스테이트풀 액티브/백업 모드에서 작동합니다. 이 모드에서는 모든 VPN 터널이 SRG1이 활성화된 동일한 디바이스에서 종료됩니다.
멀티노드 고가용성은 IPsec 터널을 설정하고 다음과 같은 방법으로 키 교환을 수행합니다.
-
라우팅 구축에서 종료 IP에 대한 활성 SRG1의 유동 IP 주소를 동적으로 연결하고 스위칭 모드에서 두 디바이스 사이에 떠 있는 가상 IP(VIP)인 종료 IP를 할당합니다.
-
SRG1이 활성 상태인 노드에서 터널 설정을 인증하기 위해 동적 CA 프로필이 필요한 경우 CA 프로필을 생성합니다.
-
새 인증을 수행하고 새 활성 노드에서 동적 프로필을 로드하고 이전 노드에서 지웁니다.
활성 노드와 백업 노드 모두에서 명령을 실행하여 show
IKE 및 IPsec 보안 연결의 상태를 표시할 수 있지만 활성 노드에서만 IKE 및 IPsec 보안 연결을 삭제할 수 있습니다.
명령을 사용하여 set chassis high-availability services-redundancy-group 1
active/backup 모드를 활성화하면 VPN 서비스가 자동으로 활성화됩니다. 자세한 내용은 구성 예를 참조하십시오.
PKI 파일은 ICL에 대해 링크 암호화를 사용하도록 설정한 경우에만 피어 노드에 동기화됩니다.
보안 디바이스에서 멀티노드 고가용성으로 VPN을 구성할 때 다음 순서를 따르는 것이 좋습니다.
-
백업 노드에서 보안 IKE(Internet Key Exchange) 게이트웨이, IPsec VPN, 인터페이스 st0.x 및 보안 영역을 구성한 다음 구성을 커밋합니다.
-
액티브 노드에서 보안 IKE(Internet Key Exchange) 게이트웨이, IPsec VPN, st0.x 인터페이스, 보안 영역 및 정적 경로를 구성하고 구성을 커밋합니다.
commit synchronize 옵션을 사용하지 않는 경우 활성 노드에서 구성을 커밋하기 전에 백업 노드에서 구성을 커밋해야 합니다.
백업 노드의 패킷 처리
멀티노드 고가용성에서 옵션을 사용하면 process-packet-on-backup
패킷 전달 엔진이 해당 SRG에 대한 백업 노드의 패킷을 전달합니다. 이 구성은 노드가 활성 모드가 아닌 경우에도 백업 노드에서 VPN 패킷을 처리합니다. 따라서 장애 조치(failover) 후 백업 노드가 활성 역할로 전환될 때 지연이 제거됩니다. 패킷 프로세스는 전환 기간 중에도 계속됩니다.
SRG1set chassis high-availability services-redundancy-group name process-packet-on-backup
에서 [] 문을 사용하여 백업 시 프로세스 패킷을 구성할 수 있습니다.
액티브-액티브 모드의 IPsec VPN
Junos OS 릴리스 22.4R1부터 IPsec VPN을 위한 멀티 SRG1(SRG1+)을 지원하는 액티브-액티브 모드에서 작동하도록 멀티노드 고가용성을 구성할 수 있습니다. 이 모드에서는 일부 SRG가 한 노드에서 활성 상태로 유지되고 일부 SRG는 다른 노드에서 활성 상태로 유지됩니다. 특정 SRG는 항상 액티브-백업 모드로 작동합니다. 한 노드에서는 활성 모드로 작동하고 다른 노드에서는 백업 모드로 작동합니다.
멀티노드 고가용성은 여러 SRG(SRG1+)가 있는 액티브-액티브 모드에서 IPsec VPN을 지원합니다. 이 모드에서는 SRG 활성도에 따라 두 노드에서 여러 활성 터널을 설정할 수 있습니다. 서로 다른 노드에서 서로 다른 SRX가 활성화될 수 있으므로 이러한 SRG에 속하는 터널은 두 노드에서 독립적으로 작동합니다. 두 노드 모두에 활성 터널이 있으면 두 노드 모두에서 데이터 트래픽을 암호화/복호화할 수 있으므로 대역폭을 효율적으로 사용할 수 있습니다.
그림 1 및 그림 2 은(는) active-backup 및 active-active 멀티노드 고가용성 IPsec VPN 터널의 차이를 보여줍니다.멀티노드 고가용성은 IPsec 터널을 설정하고 종료 IP 주소(터널에서 끝나는 터널도 식별)를 SRG에 연결하여 키 교환을 수행합니다. 디바이스마다 다른 SRG1+가 활성 상태 또는 백업 상태가 될 수 있으므로, 멀티노드 고가용성은 일치하는 트래픽을 해당 액티브 SRG1으로 효과적으로 전달합니다. 또한 멀티노드 고가용성은 SRG ID 및 IP 접두사 매핑 정보를 유지합니다.
표 1 과 표 2 는 SRG1+ 변경의 변경으로 인한 IPsec VPN 터널의 영향에 대한 세부 정보를 제공합니다.
SRG1 변경 | 이 IPSec VPN 터널에 미치는 영향 |
---|---|
SRG 추가 | 기존 터널에 영향 없음 |
SRG 삭제 | SRG와 연결된 모든 경로를 삭제합니다. |
SRG 속성(prefix-list 제외) 수정 | 기존 터널에 영향 없음 |
SRG ID 수정 | SRG와 연결된 기존 터널을 모두 삭제합니다. |
접두사 목록 수정의 IP 접두사 | 특정 IP 접두사에 매핑되는 모든 터널을 삭제합니다. 수정된 IP 접두사에 대한 기존 터널 매핑이 없는 경우 영향이 없습니다. |
멀티노드 고가용성에서 | SRG 상태 변경 | 작업
---|---|
|
해당 SRG에 해당하는 모든 데이터를 삭제하고 새 활성 SRG에서 재동기화합니다. |
|
해당 SRG에 해당하는 모든 데이터를 삭제하고 새 활성 SRG에서 재동기화합니다. |
|
해당 사항 없음 |
|
작업 없음 |
|
작업 없음 |
|
작업 없음 |
|
작업 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태와 관련되지 않은 경우 작업이 필요하지 않음) |
|
작업 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태와 관련되지 않은 경우 작업이 필요하지 않음) |
|
작업 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태와 관련되지 않은 경우 작업이 필요하지 않음) |
SRG에 IPsec VPN 서비스 연결
22.4R1 이전 릴리스는 SRG0 및 SRG1만 지원했으며, SRG1은 기본적으로 IPsec VPN에 연결되었습니다. 22.4R1에서 SRG는 기본적으로 IPSec VPN 서비스에 연결되어 있지 않습니다. 다음과 같은 방법으로 IPsec VPN 서비스를 여러 SRG에 연결해야 합니다.
- IPsec을 관리 서비스로 지정
전:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec]
- IP 접두사 목록 만들기
전:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>]
[set policy-options prefix-list <name> <IP address>
멀티노드 고가용성 설정에 여러 SRX가 있는 경우 일부 SRG는 한 노드에서 활성 상태이고 일부 SRG는 다른 노드에서 활성화됩니다. IP 접두사 목록을 구성하여 특정 IPsec 터널을 특정 노드(SRX 시리즈 방화벽)에 고정할 수 있습니다.
IPsec VPN 구성에서 IKE(Internet Key Exchange) 게이트웨이는 두 보안 디바이스 간의 네트워크 연결을 시작하고 종료합니다. 로컬 엔드(로컬 IKE 게이트웨이)는 IKE 협상을 시작하는 SRX 시리즈 인터페이스입니다. 로컬 IKE(Internet Key Exchange) 게이트웨이에는 VPN 연결에서 엔드포인트로 사용하는 방화벽에서 공개적으로 라우팅 가능한 IP 주소인 로컬 IP 주소가 있습니다.
IP 접두사 목록에는 IKE(Internet Key Exchange) 게이트웨이의 로컬 주소로 사용되는 IPv4 또는 IPv6 주소 접두사 목록이 포함됩니다. 이러한 IP 접두사(prefix-list)를 지정된 SRG1과 연결하여 IKE(Internet Key Exchange) 게이트웨이의 로컬 주소를 SRG의 상태에 따라 더 높은 선호도로 광고할 수 있습니다.
특정 IPsec VPN 터널을 특정 보안 디바이스에 고정하려면 다음을 수행해야 합니다.
-
IKE(Internet Key Exchange) 게이트웨이의 로컬 주소를 포함하여 IP 접두사 목록을 생성하고 IP 접두사 목록을 SRG에 연결합니다.
예제:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
- 접두사 목록에 대한 routing-instance를 정의합니다.
set chassis high-availability services-redundancy-group 1 prefix-list lo0 routing-instance rt-vr set chassis high-availability services-redundancy-group 1 prefix-list lo0 routing-instance rt-vr
접두사 목록에 라우팅 인스턴스를 연결하지 않으면 멀티노드 고가용성은 VPN 기능에 영향을 줄 수 있는 기본 라우팅 테이블을 사용합니다.
-
IPsec VPN을 SRG에 연결/활성화합니다.
예제:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
이 구성을 사용하면 멀티노드 고가용성 설정에서 SRX 시리즈 방화벽에 구성된 여러 SRG 중 하나에 IPsec VPN을 선택적으로 유연하게 연결할 수 있습니다.
다음 명령을 사용하여 SRG에 대한 IKE/IPsec 개체의 매핑을 확인할 수 있습니다.
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
다음 명령을 사용하여 SRG와 IP 접두사 목록의 매핑을 확인할 수 있습니다.
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
접두사 목록을 구성하지 않으면 다음과 같은 경고 메시지가 표시됩니다.
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
자세한 내용은 예: 레이어 3 네트워크의 액티브-액티브 멀티노드 고가용성에서 IPSec VPN 구성을 참조하십시오.
IPsec VPN을 위한 동적 라우팅 프로토콜 지원
Junos OS 릴리스 23.2R1부터 로컬 노드 터널을 사용하여 멀티노드 고가용성 설정에서 IPsec VPN을 위한 동적 라우팅 프로토콜을 활성화할 수 있습니다. 동적 라우팅 프로토콜이 추가하는 경로는 노드에 로컬로 유지됩니다. 이러한 경로는 SRG(Services Redundancy Group)에 바인딩되지 않습니다.
이전 릴리스에서 멀티노드 고가용성은 트래픽 선택기 구축만 지원합니다. 즉, 트래픽 선택기를 사용하여 IPsec VPN을 구성할 때 구성은 트래픽 선택기 접두사를 기반으로 기본 설정 값과 라우팅 메트릭을 고려하여 경로를 설치합니다.
노드-로컬 터널을 구성할 때 VPN 피어 디바이스에서 멀티노드 고가용성 설정의 두 노드로 연결되는 별도의 터널이 있습니다. 즉, 두 개의 멀티노드 고가용성 노드 각각에 대한 하나의 노드-로컬 터널이 있습니다.
그림 3, 그림 4 및 그림 5는 각각 동기화된 터널, 노드-로컬 터널, 동기화된 터널과 노드-로컬 터널의 조합을 사용한 멀티노드 고가용성 IPsec VPN 구축을 보여줍니다.
앞의 그림은 피어 디바이스와 멀티노드 고가용성 설정 간의 IPsec VPN 터널을 보여줍니다. IPsec VPN 터널은 활성 SRG1+에 고정됩니다. 연결된 SRG1+가 활성화되면 터널은 활성 상태를 유지합니다. 이 구축에서 트래픽은 활성 터널(터널 1)을 통해 실행됩니다.
앞의 그림에서는 VPN 피어 디바이스와 멀티노드 고가용성 설정 사이에 두 개의 노드-로컬 터널이 있습니다. 각 터널은 설정의 두 노드 중 하나에 연결됩니다. 이 터널은 SRG1+와 연결되어 있지 않습니다. 터널 중 하나 또는 둘 다 언제든지 활성 상태를 유지할 수 있습니다. 구성된 라우팅 프로토콜에 따라 트래픽은 언제든지 터널 2 또는 터널 3을 통해 실행됩니다.
앞의 그림은 VPN 피어 디바이스와 멀티노드 고가용성 설정 간의 IPsec VPN 터널을 보여줍니다. 또한 이 그림에는 VPN 피어 디바이스와 멀티노드 고가용성 설정 사이에 있는 두 개의 노드-로컬 터널이 나와 있습니다.
IPsec VPN 터널은 활성 SRG1+에 고정되며 연결된 SRG1+가 활성화될 때 활성 상태를 유지합니다. 노드-로컬 터널의 경우 두 터널 모두 활성 상태로 유지됩니다.
표 3 은 터널과 동기화된 터널 간의 node-local
차이를 보여줍니다.
기능 | 노드-로컬 | 터널동기화된 터널 |
---|---|---|
SRG1+와의 연결 | 아니요 | 예 |
멀티노드 고가용성 노드 간 터널 정보 동기화 | 아니요 | 예 |
활성 터널 수 | 두 | 하나 |
IPsec VPN 터널을 Node-Local 터널로 표시
다음 문을 사용하여 SRX 시리즈 방화벽에서와 같이 node-local
IPsec VPN 터널을 구성할 수 있습니다.
[edit] user@host# set security ike gateway gateway-name node-local
멀티노드 고가용성 설정에서 두 노드 모두에 대해 옵션을 구성해야 node-local
합니다.
라우팅 정책을 구성할 때 하나의 터널에 대한 기본 설정을 지정해야 합니다.