멀티노드 고가용성에서 IPsec VPN 지원

Active-Backup 모드의 IPsec VPN

SRX 시리즈 방화벽은 멀티노드 고가용성 설정에서 IPsec VPN 터널을 지원합니다. Junos OS 릴리스 22.4R1 이전에는 IPsec VPN 터널이 SRG1에 고정되며, 여기서 SRG1은 스테이트풀 액티브/백업 모드에서 작동합니다. 이 모드에서는 SRG1이 활성화된 동일한 디바이스에서 모든 VPN 터널이 종료됩니다.

멀티노드 고가용성은 IPsec 터널을 설정하고 다음을 통해 키 교환을 수행합니다.

라우팅 구축에서 종료 IP에 대해 활성 SRG1의 유동 IP 주소를 동적으로 연결하고 스위칭 모드에서 두 디바이스 간에 떠 있는 종료 IP인 가상 IP(VIP)를 할당합니다.
터널 설정을 인증하기 위해 동적 CA 프로필이 필요한 경우 SRG1이 활성화된 노드에서 CA 프로필을 생성합니다.
새 인증을 수행하고, 새 활성 노드에서 동적 프로필을 로드하고, 이전 노드에서 삭제합니다.

활성 노드와 백업 노드 모두에서 명령을 실행하여 show IKE 및 IPsec 보안 연결의 상태를 표시할 수 있지만 IKE 및 IPsec 보안 연결은 활성 노드에서만 삭제할 수 있습니다.

명령을 사용하여 액티브/백업 모드를 활성화하면 VPN 서비스가 자동으로 활성화됩니다 set chassis high-availability services-redundancy-group 1 . 자세한 내용은 구성 예를 참조하십시오.

메모:

PKI 파일은 ICL에 대해 링크 암호화를 사용하는 경우에만 피어 노드에 동기화됩니다.

팁:

보안 디바이스에서 멀티노드 고가용성(HA)을 사용하는 VPN을 구성할 때 다음 순서를 권장합니다.

백업 노드에서 보안 IKE 게이트웨이, IPsec VPN, 인터페이스 st0.x 및 보안 영역을 구성한 다음 구성을 커밋합니다.
활성 노드에서 보안 IKE 게이트웨이, IPsec VPN, st0.x 인터페이스, 보안 영역 및 정적 경로를 구성하고 구성을 커밋합니다.

옵션을 사용하지 commit synchronize 경우 활성 노드에서 구성을 커밋하기 전에 백업 노드에서 구성을 커밋해야 합니다.

백업 노드에서 패킷 처리

멀티노드 고가용성에서 옵션을 사용하면 process-packet-on-backup 패킷 전달 엔진이 해당 SRG에 대한 백업 노드의 패킷을 전달합니다. 이 구성은 노드가 활성 모드가 아닌 경우에도 백업 노드에서 VPN 패킷을 처리합니다. 따라서 장애 조치 후 백업 노드가 활성 역할로 전환될 때 지연이 제거됩니다. 패킷 프로세스는 전환 기간 중에도 계속됩니다.

[set chassis high-availability services-redundancy-group name process-packet-on-backup] 문을 사용하여 SRG1의 백업에서 프로세스 패킷을 구성할 수 있습니다.

액티브-액티브 모드의 IPsec VPN

Junos OS 릴리스 22.4R1부터 IPsec VPN용 멀티 SRG1(SRG1+)을 지원하고 액티브-액티브 모드에서 작동하도록 멀티노드 고가용성을 구성할 수 있습니다. 이 모드에서 일부 SRG는 한 노드에서 활성 상태로 유지되고 일부 SRG는 다른 노드에서 활성 상태로 유지됩니다. 특정 SRG는 항상 액티브 백업 모드에서 작동합니다. 한 노드에서는 활성 모드로 작동하고 다른 노드에서는 백업 모드로 작동합니다.

멀티노드 고가용성은 여러 SRG(SRG1+)와 함께 액티브-액티브 모드에서 IPsec VPN을 지원합니다. 이 모드에서는 SRG 활성도를 기반으로 두 노드에서 여러 개의 활성 터널을 설정할 수 있습니다. 서로 다른 SRG가 서로 다른 노드에서 활성화될 수 있으므로 이러한 SRG에 속한 터널은 두 노드에서 독립적으로 작동합니다. 두 노드에 활성 터널이 있으면 두 노드에서 데이터 트래픽을 암호화/복호화할 수 있어 대역폭을 효율적으로 사용할 수 있습니다.

그림 1 그리고 그림 2 active-backup 및 active-active 멀티노드 고가용성 IPSec VPN 터널의 차이를 보여줍니다.

그림 1: 멀티노드 고가용성 Active-Backup IPsec VPN Tunnel in Multinode High Availability

의 Active-Backup IPsec VPN 터널

그림 2: 멀티노드 고가용성의 액티브-액티브 IPsec VPN 터널 Active-Active IPsec VPN Tunnel in Multinode High Availability

멀티노드 고가용성은 IPsec 터널을 설정하고 종료 IP 주소(이 주소에서 끝나는 터널도 식별함)를 SRG에 연결하여 키 교환을 수행합니다. 서로 다른 SRG1+가 각 디바이스에서 활성 상태 또는 백업 상태에 있을 수 있으므로 멀티노드 고가용성은 일치하는 트래픽을 해당 활성 SRG1로 효과적으로 전달합니다. 또한 멀티노드 고가용성은 SRG ID 및 IP 접두사 매핑 정보를 유지합니다.

표 1 과 표 2 는 SRG1+ 변경으로 인한 IPSec VPN 터널의 영향에 대한 세부 정보를 제공합니다.

표 1: SRG1+ 수정으로 인한 IPSec VPN 터널의 영향
SRG1 변경 사항이	IPSec VPN 터널에 미치는 영향
SRG 추가	기존 터널에 영향 없음
SRG 삭제	SRG와 관련된 모든 경로를 삭제합니다.
SRG 속성(접두사 목록 이외) 수정	기존 터널에 영향 없음
SRG ID 수정	SRG와 관련된 기존 터널을 모두 삭제합니다.
접두사 목록 수정의 IP 접두사	특정 IP 접두사에 매핑되는 모든 터널을 삭제합니다. 수정된 IP 접두사에 대한 기존 터널 매핑이 없는 경우 영향이 없습니다.

작업

표 2: SRG1+ 상태 변경으로 인한 IPSec VPN 터널의 영향
멀티노드 고가용성에서 SRG	상태 변경
`Active` 받는 사람 `Backup`	해당 SRG에 해당하는 모든 데이터를 삭제하고 새 활성 SRG에서 재동기화합니다.
`Active` 받는 사람 `Ineligible`	해당 SRG에 해당하는 모든 데이터를 삭제하고 새 활성 SRG에서 재동기화합니다.
`Active` 받는 사람 `Hold`	해당 사항 없음
`Backup` 받는 사람 `Active`	조치 없음
`Ineligible` 받는 사람 `Active`	조치 없음
`Hold` 받는 사람 `Active`	조치 없음
`Hold` 받는 사람 `Backup`	조치 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태에 관여하지 않는 경우 조치가 필요하지 않음)
`Ineligible` 받는 사람 `Backup`	조치 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태에 관여하지 않는 경우 조치가 필요하지 않음)
`Hold` 받는 사람 `Ineligible`	조치 없음(가능한 상태 전환, 활성 상태가 사전 또는 사후 상태에 관여하지 않는 경우 조치가 필요하지 않음)

SRG에 IPsec VPN 서비스 연결

22.4R1 이전 릴리스는 SRG0 및 SRG1만 지원했으며, SRG1은 기본적으로 IPsec VPN에 연결되었습니다. 22.4R1에서 SRG는 기본적으로 IPSec VPN 서비스에 연결되지 않습니다. 다음을 통해 IPSec VPN 서비스를 여러 SRG 중 하나에 연결해야 합니다.

IPsec을 매니지드 서비스로 지정
전: [set chassis high-availability services-redundancy-group <id> managed-services ipsec]
IP 접두사 목록 생성
전: [set chassis high-availability services-redundancy-group <id> prefix-list <name>]

[set policy-options prefix-list <name> <IP address>

멀티노드 고가용성 설정에 여러 SRG가 있는 경우 일부 SRG는 한 노드에서 활성 상태이고 일부 SRG는 다른 노드에서 활성 상태입니다. IP 접두사 목록을 구성하여 특정 노드(SRX 시리즈 방화벽)에 특정 IPsec 터널을 고정할 수 있습니다.

IPsec VPN 구성에서 IKE 게이트웨이는 두 보안 디바이스 간의 네트워크 연결을 시작하고 종료합니다. 로컬 엔드(로컬 IKE 게이트웨이)는 IKE 협상을 시작하는 SRX 시리즈 인터페이스입니다. 로컬 IKE(Internet Key Exchange) 게이트웨이에는 VPN 연결에서 엔드포인트로 사용하는 방화벽에서 공개적으로 라우팅할 수 있는 IP 주소인 로컬 IP 주소가 있습니다.

IP 접두사 목록에는 IKE 게이트웨이의 로컬 주소로 사용되는 IPv4 또는 IPv6 주소 접두사 목록이 포함됩니다. 이러한 IP 접두사(prefix-list)를 지정된 SRG1과 연결하여 SRG 상태에 따라 더 높은 선호로 IKE 게이트웨이의 로컬 주소를 보급할 수 있습니다.

특정 IPSec VPN 터널을 특정 보안 디바이스에 고정하려면 다음을 수행해야 합니다.

IKE(Internet Key Exchange) 게이트웨이의 로컬 주소를 포함하여 IP 접두사 목록을 생성하고 IP 접두사 목록을 SRG에 연결합니다.

본보기:

접두사 목록에 대한 routing-instance를 정의합니다.
접두사 목록에 대한 routing-instance를 연결하지 않으면 멀티노드 고가용성은 VPN 기능에 영향을 미칠 수 있는 기본 라우팅 테이블을 사용합니다.
IPsec VPN을 SRG에 연결/활성화합니다.

본보기:
이 구성을 통해 멀티노드 고가용성 설정에서 SRX 시리즈 방화벽에 구성된 여러 SRG 중 하나에 IPsec VPN을 선택적이고 유연하게 연결할 수 있습니다.

다음 명령을 사용하여 SRG에 대한 IKE/IPsec 개체의 매핑을 확인할 수 있습니다.

다음 명령을 사용하여 SRG 및 IP 접두사 목록의 매핑을 확인할 수 있습니다.

접두사 목록을 구성하지 않으면 다음과 같은 경고 메시지가 표시됩니다.

자세한 내용은 예: 레이어 3 네트워크의 액티브-액티브 멀티노드 고가용성에서 IPSec VPN 구성을 참조하십시오.

IPSec VPN을 위한 동적 라우팅 프로토콜 지원

Junos OS 릴리스 23.2R1부터 노드-로컬 터널을 사용하여 멀티노드 고가용성 설정에서 IPsec VPN에 대한 동적 라우팅 프로토콜을 활성화할 수 있습니다. 동적 라우팅 프로토콜이 추가하는 경로는 노드에 로컬로 유지됩니다. 이러한 경로는 SRG(Services Redundancy Group)에 바인딩되지 않습니다.

이전 릴리스에서 멀티노드 고가용성(High Availability)은 트래픽 선택기 구축만 지원합니다. 즉, 트래픽 선택기를 사용하여 IPSec VPN을 구성할 때 구성은 트래픽 선택기 접두사를 기반으로 기본 설정 값과 라우팅 메트릭을 고려하여 경로를 설치합니다.

노드-로컬 터널을 구성할 때 VPN 피어 디바이스에서 멀티노드 고가용성 설정의 두 노드로 연결되는 별도의 터널이 있습니다. 즉, 두 개의 멀티노드 고가용성 노드 각각에 대해 하나의 노드-로컬 터널이 있습니다.

그림 3, 그림 4 및 그림 5 는 각각 동기화된 터널, 노드-로컬 터널, 동기화된 터널과 노드-로컬 터널의 조합이 있는 멀티노드 고가용성 IPsec VPN 구축을 보여줍니다.

그림 3: 동기화된 터널 Multinode High Availability Deployment with Synced Tunnels

을 사용한 멀티노드 고가용성 구축

앞의 그림에서는 피어 디바이스와 멀티노드 고가용성 설정 간의 IPsec VPN 터널을 보여 줍니다. IPSec VPN 터널은 활성 SRG1+에 고정됩니다. 연결된 SRG1+가 활성화되면 터널은 활성 상태를 유지합니다. 이 구축에서 트래픽은 활성 터널(터널 1)을 통과합니다.

그림 4: 노드-로컬 터널 Multinode High Availability Deployment with Node-Local Tunnel

을 사용한 멀티노드 고가용성 구축

앞의 그림에는 VPN 피어 디바이스와 멀티노드 고가용성 설정 사이에 두 개의 노드-로컬 터널이 있습니다. 각 터널은 설정에 있는 두 노드 중 하나에 연결됩니다. 이러한 터널은 SRG1+와 연결되어 있지 않습니다. 터널 중 하나 또는 둘 다 언제든지 활성 상태를 유지할 수 있습니다. 구성된 라우팅 프로토콜에 따라 트래픽은 언제든지 터널 2 또는 터널 3을 통해 실행됩니다.

그림 5: 동기화된 터널과 노드-로컬 터널의 조합을 사용한 멀티노드 고가용성 구축 Multinode High Availability Deployment with Combination of Synced Tunnels and Node-Local Tunnels

앞의 그림에서는 VPN 피어 디바이스와 멀티노드 고가용성 설정 간의 IPsec VPN 터널을 보여 줍니다. 또한 이 그림에서는 VPN 피어 디바이스와 멀티노드 고가용성 설정 간의 두 개의 노드-로컬 터널을 보여 줍니다.

IPSec VPN 터널은 활성 SRG1+에 고정되며 연결된 SRG1+가 활성화되면 활성 상태를 유지합니다. 노드-로컬 터널의 경우 두 터널 모두 활성 상태를 유지합니다.

표 3 에는 터널과 동기화된 터널의 차이점 node-local 이 나와 있습니다.

표 3: 노드-로컬 터널과 동기화된 터널의 차이점
기능	노드-로컬 터널	동기화된 터널
SRG1+와의 연계	아니요	예
멀티노드 고가용성 노드 간 터널 정보 동기화	아니요	예
활성 터널 수	2	1

IPSec VPN 터널을 노드-로컬 터널로 표시

IPsec VPN 터널은 다음과 같은 명령문을 사용하여 SRX 시리즈 방화벽에서와 같이 node-local 구성할 수 있습니다.

멀티노드 고가용성 설정에서 두 노드에 대해 옵션을 구성해야 node-local 합니다.

라우팅 정책 구성 시 하나의 터널에 대한 기본 설정을 지정해야 합니다.

멀티노드 고가용성에서 ADVPN 지원

Junos OS 릴리스 24.2R1부터 멀티노드 고가용성은 노드-로컬 터널 구축에서 ADVPN을 지원합니다.

노드-로컬 터널은 VPN 피어 디바이스에서 별도의 터널을 설정 시 두 노드로 제공하여 멀티노드 HA를 향상시킵니다. ADVPN을 사용하면 스포크 간에 VPN 터널을 동적으로 설정할 수 있습니다. 노드-로컬 터널 구축에서 ADVPN을 멀티노드 HA와 결합하면 강력한 네트워크 연결, 효율적인 리소스 활용, 원활한 장애 조치가 보장됩니다.

ADVPN 프로토콜을 사용하면 두 파트너 게이트웨이 간에 바로 가기 경로를 생성하여 데이터 전달을 위한 최적의 경로를 설정할 수 있습니다. 전통적으로 허브 앤 스포크 네트워크에서 두 스포크 간의 트래픽은 허브를 통과합니다. ADVPN을 사용하면 허브는 이전에 IPsec SA를 설정한 피어(스포크 디바이스) 간의 바로 가기를 권장합니다. 바로 가기를 제안하는 결정은 허브를 통해 피어 쌍 간에 흐르는 트래픽의 기간과 양에 따라 달라집니다. 바로 가기 파트너라고 하는 이러한 피어는 자체 정책에 따라 이 권장 사항을 수락하거나 거부합니다.

피어는 제안을 수락하고 그들 사이에 직접 SA(바로 가기)를 설정합니다. 각 바로 가기에 대해 새 phase1 및 phase2 SA가 생성됩니다. 그런 다음 이 바로 가기를 사용하여 데이터 전달을 위한 보다 최적의 경로를 설정합니다. 이제 피어 간의 모든 트래픽이 피어 간의 바로 가기 터널을 통해 직접 이동합니다.

피어가 권장 사항을 거부하면 제안자에 다시 응답하여 거부 이유를 표시합니다. 이 경우 트래픽은 Shortcut Suggester를 통해 계속 흐릅니다.

멀티노드 고가용성 설정에는 액티브 노드 및 백업 노드 역할을 하는 2개의 SRX 시리즈 방화벽과 노드-로컬 구성의 2개의 VPN 피어 디바이스가 포함됩니다. 이 경우 VPN 피어 디바이스와 멀티노드 고가용성 설정 사이에 IPsec VPN 터널이 설정됩니다.

바로 가기 제안기: 피어 간에 이동하는 트래픽을 확인하고 바로 가기를 제안합니다.
단축키 파트너: 단축키 터널을 형성하는 피어 디바이스입니다. 단축키 교환은 확장된 IKEv2 프로토콜을 통해 이루어집니다.

멀티노드 고가용성 설정에서 노드-로컬 터널이 있는 VPN 피어 디바이스는 다음 역할을 수행합니다.

ADVPN 바로 가기 파트너
ADVPN 바로 가기 제안기

ADVPN 구성에서 SRX 시리즈 방화벽은 바로 가기 제안기 또는 바로 가기 파트너로 작동할 수 있지만 한 번에 제안기와 파트너의 역할을 모두 수행할 수는 없습니다.

다음 이미지는 VPN 게이트웨이가 바로 가기 제안기 및 파트너 역할을 하는 방법을 보여 줍니다.

바로 가기 파트너 역할을 하는 VPN 피어 디바이스는 두 개의 터널(각 멀티노드 고가용성 노드로 향하는 터널 하나)을 설정합니다. 이 경우 각 노드는 바로 가기 제안기 역할을 합니다.
그림 6: 바로 가기 파트너 로서의 VPN Gateway

그림에 표시된 대로:
- 멀티노드 고가용성의 두 SRX 시리즈 방화벽은 바로 가기 제안기인 Suggester-1(활성 노드) 및 Suggester-2(백업 노드) 역할을 합니다.
- 두 개의 VPN 게이트웨이(Partner-1 및 Partner-2)가 바로 가기 파트너 역할을 합니다.
- Partner-1은 두 개의 터널을 생성합니다. 하나는 Suggester-1을 향하고 다른 하나는 Sugester-2를 향합니다
- Partner-2는 두 개의 터널을 생성합니다. 하나는 Suggester-1을 향하고 다른 하나는 Sugester-2를 향합니다
- 파트너-1에서 파트너-2로의 트래픽은 제안자-1을 통과합니다. Suggester-1은 Partner-1 및 Partner-2에게 바로 가기를 만들도록 알립니다.
- 활성 노드(suggester-1)에 장애가 발생하고 Suggester-1에서 Partner-1 및 Partner-2로의 터널이 모두 다운된 경우:
- - 이전에 만든 바로 가기는 활성 상태로 유지되지만 Partner-1에서 Partner-2로의 트래픽 흐름은 Suggester-2를 통과합니다. 이 경우 Suggester-2는 Partner-1과 Partner-2 사이의 바로 가기를 제안합니다. Partner-1과 Partner-2 사이에 바로가기가 이미 있으므로 새 바로가기 Suggester-2에 대한 제안이 거부됩니다.
바로 가기 제안기 역할을 하는 VPN 피어 디바이스입니다. 이 경우 각 멀티노드 고가용성 노드는 바로 가기 파트너 역할을 하며 VPN 피어 디바이스에 대한 별도의 터널을 설정합니다.
그림 7: VPN Gateway를 바로 가기 제안기로 사용
- 멀티노드 고가용성의 SRX 시리즈 방화벽은 Partner-1-A 및 Partner-1-B의 역할을 합니다.
- 하나의 VPN 게이트웨이는 Suggester 역할을 하고 다른 SRX 시리즈 방화벽은 Partner-2 역할을 합니다.
- Partner-1-A(활성 노드)는 Suggester를 사용하여 정적 터널(활성 터널)을 만듭니다.
- Partner-1-B(백업 노드)는 Suggester를 사용하여 정적 터널(백업 터널)을 생성합니다.
- Partner-1-A에서 Partner-2로의 트래픽은 Suggester를 통해 흐릅니다.
- Suggester는 Partner-1-A와 Partner-2 사이에 바로 가기를 만들 것을 제안합니다.
- Partner-1-A와 Partner-2는 둘 사이에 단축키를 만듭니다. 파트너와 제안기 간의 고정 터널이 다운되더라도 바로 가기 터널에는 영향을 주지 않습니다. 정적 터널이 다운된 후에도 트래픽은 계속해서 바로 가기 터널을 통해 흐릅니다.

구성 하이라이트
제한

구성 하이라이트

SRX 시리즈 방화벽에서 멀티노드 고가용성을 구성합니다. 예제: 레이어 3 네트워크에서 멀티노드 고가용성 구성을 참조하십시오.
멀티노드 고가용성 설정에서 두 노드에 대해 옵션을 구성해야 node-local 합니다. 본보기:
해당하는 경우 SRX 시리즈 방화벽에서 바로 가기 파트너 또는 바로 가기 제안자 역할을 구성합니다. 자동 검색 VPN을 참조하십시오.

기본적으로 IKE(Internet Key Exchange) 게이트웨이 계층에서 advpn 을 구성하는 경우 바로 가기 제안기 및 바로 가기 파트너 옵션이 모두 활성화됩니다. suggester 옵션 또는 파트너 옵션을 명시적으로 비활성화하여 특정 기능을 비활성화해야 합니다.

제한

ADVPN 제안기 구성은 스포크 구성을 위한 파트너 기능으로 AutoVPN 허브에서만 허용됩니다.
동일한 IKE 게이트웨이에서 제안자 역할과 파트너 역할을 모두 구성할 수 없습니다
ADVPN은 IKEv1을 지원하지 않습니다
둘 다 NAT 디바이스 뒤에 있는 파트너 간에는 바로 가기를 만들 수 없습니다.

이 페이지 내용