Compatibilidad con VPN IPsec en alta disponibilidad multinodo
VPN IPsec en modo de copia de seguridad activa
Los firewalls de la serie SRX admiten túneles VPN IPsec en una configuración de alta disponibilidad de múltiples nodos. Antes de Junos OS versión 22.4R1, el túnel VPN IPsec se anclaba en SRG1, donde SRG1 actúa en modo activo/copia de seguridad con estado. En este modo, todos los túneles VPN terminan en el mismo dispositivo donde SRG1 está activo.
La alta disponibilidad multinodo establece un túnel IPsec y realiza intercambios de claves mediante:
-
Asocia dinámicamente la dirección IP flotante del SRG1 activo para la IP de terminación en el despliegue de enrutamiento y asigna la IP de terminación, la IP virtual (VIP), que flota entre los dos dispositivos en modo de conmutación.
-
Generar el perfil de CA, cuando se necesita un perfil de CA dinámico para autenticar el establecimiento del túnel, en el nodo donde SRG1 está activo.
-
Realizar una nueva autenticación y cargar el perfil dinámico en el nodo recién activo y borrar en el nodo antiguo.
Aunque puede ejecutar los show comandos en nodos activos y de reserva para mostrar el estado de las asociaciones de seguridad IKE e IPsec, solo puede eliminar las asociaciones de seguridad IKE e IPsec en el nodo activo.
El servicio VPN se habilita automáticamente cuando se habilita el modo activo/copia de seguridad mediante el set chassis high-availability services-redundancy-group 1 comando. Consulte el ejemplo de configuración para obtener más detalles.
Los archivos PKI se sincronizan con el nodo par solo si habilita el cifrado de vínculos para la ICL.
Recomendamos la siguiente secuencia cuando configure VPN con alta disponibilidad multinodo en su dispositivo de seguridad:
-
En el nodo de copia de seguridad, configure la puerta de enlace IKE de seguridad, VPN IPsec, interfaces st0.x y zonas de seguridad y, a continuación, confirme la configuración.
-
En el nodo activo, configure la puerta de enlace IKE de seguridad, VPN IPsec, interfaz st0.x, zonas de seguridad y ruta estática y confirme la configuración.
Debe confirmar la configuración en el nodo de copia de seguridad antes de confirmar la configuración en el nodo activo si no usa la opción de sincronización de confirmación.
Procesar paquetes en el nodo de copia de seguridad
Cuando se utiliza la process-packet-on-backup opción de Alta disponibilidad de varios nodos, el motor de reenvío de paquetes reenvía paquetes en el nodo de copia de seguridad para el SRG correspondiente. Esta configuración procesa paquetes VPN en el nodo de copia de seguridad incluso cuando el nodo no está en modo activo; De este modo, se elimina el retraso cuando el nodo de copia de seguridad pasa al rol activo después de una conmutación por error. El proceso de paquetes continúa incluso durante el período de transición.
Puede configurar el paquete de proceso en la copia de seguridad en una SRG1 mediante la instrucción [set chassis high-availability services-redundancy-group name process-packet-on-backup].
VPN IPsec en modo activo-activo
A partir de Junos OS versión 22.4R1, puede configurar la alta disponibilidad de varios nodos para que funcione en modo activo-activo compatible con varias SRG1 (SRG1+) para VPN IPsec. En este modo, algunas SRG permanecen activas en un nodo y algunas SRG permanecen activas en otro nodo. Un SRG en particular siempre funciona en modo de copia de seguridad activa; Funciona en modo activo en un nodo y en modo de copia de seguridad en otro nodo.
La alta disponibilidad de varios nodos admite VPN IPsec en modo activo-activo con varias SRG (SRG1+). En este modo, puede establecer varios túneles activos desde ambos nodos, en función de la actividad de SRG. Dado que diferentes SRG pueden estar activos en diferentes nodos, los túneles que pertenecen a estos SRG aparecen en ambos nodos de forma independiente. Tener túneles activos en ambos nodos permite cifrar/descifrar el tráfico de datos en ambos nodos, lo que resulta en un uso eficiente del ancho de banda.
Figura 1 Y Figura 2 muestran diferencias en los túneles VPN IPsec de alta disponibilidad de varios nodos activo-copia de seguridad y activo-activo.
de varios nodos
multinodo
La alta disponibilidad multinodo establece un túnel IPsec y realiza intercambios de claves asociando la dirección IP de terminación (que también identifica los túneles que terminan en ella) al SRG. Dado que diferentes SRG1+ pueden estar en estado activo o en estado de respaldo en cada uno de los dispositivos, la alta disponibilidad de multinodo dirige el tráfico coincidente de manera efectiva al SRG1 activo correspondiente. La alta disponibilidad multinodo también mantiene el ID de SRG y la información de asignación de prefijo IP.
La Tabla 1 y la Tabla 2 proporcionan detalles sobre el impacto en los túneles VPN IPsec debido a cambios en los cambios de SRG1+.
| cambios de SRG1 | en los túneles VPN IPSec |
|---|---|
| Adición de SRG | Sin impacto en los túneles existentes |
| Eliminación de SRG | Elimina todas las rutas asociadas con el SRG. |
| Modificación del atributo SRG (que no sea la lista de prefijos) | Sin impacto en los túneles existentes |
| Modificación del ID de SRG | Elimina todos los túneles existentes asociados con la SRG. |
| Modificación del prefijo IP en la lista de prefijos | Elimina todos los túneles asignados a ese prefijo IP en particular. No hay impacto si no hay una asignación de túnel existente al prefijo IP modificado. |
| El estado de SRG cambia | laacción de la alta disponibilidad de multinodo |
|---|---|
|
|
Elimina todos los datos correspondientes a esa SRG y vuelve a sincronizar desde nueva la SRG activa |
|
|
Elimina todos los datos correspondientes a esa SRG y vuelve a sincronizar desde nueva la SRG activa |
|
|
No aplica |
|
|
Sin acción |
|
|
Sin acción |
|
|
Sin acción |
|
|
Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción) |
|
|
Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción) |
|
|
Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción) |
Asociar el servicio VPN IPsec a un SRG
Las versiones anteriores a 22.4R1 solo admitían SRG0 y SRG1, y SRG1 estaba asociado a VPN IPsec de forma predeterminada. En 22.4R1, un SRG no está asociado al servicio VPN IPSec de forma predeterminada. Debe asociar el servicio VPN IPsec a cualquiera de las varias SRG de la siguiente manera:
- Especificación de IPsec como servicio administrado
Ej:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec] - Creación de una lista de prefijos IP
Ej:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>][set policy-options prefix-list <name> <IP address>
Cuando tiene varios SRG en la configuración de alta disponibilidad de multinodo, algunos SRG están en estado activo en un nodo y algunos SRG están activos en otro nodo. Puede anclar determinados túneles IPsec a un nodo determinado (firewall de la serie SRX) configurando una lista de prefijos IP.
En la configuración de VPN IPsec, una puerta de enlace IKE inicia y finaliza las conexiones de red entre dos dispositivos de seguridad. El extremo local (puerta de enlace IKE local) es la interfaz de la serie SRX que inicia las negociaciones de IKE. La puerta de enlace IKE local tiene una dirección IP local, una dirección IP enrutable públicamente en el firewall, que la conexión VPN utiliza como punto de conexión.
La lista de prefijos IP incluye una lista de prefijos de dirección IPv4 o IPv6, que se utilizan como dirección local de una puerta de enlace IKE. Puede asociar estos prefijos IP (prefix-list) con un SRG1 especificado para anunciar la dirección local de la puerta de enlace de IKE con una preferencia más alta según el estado del SRG.
Para anclar un túnel VPN IPsec determinado a un dispositivo de seguridad determinado, debe:
-
Cree una lista de prefijos IP incluyendo la dirección local de la puerta de enlace IKE y asocie la lista de prefijos IP al SRG:
Ejemplo:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
- Defina la instancia de enrutamiento para la lista de prefijos.
set chassis high-availability services-redundancy-group 1 prefix-list lo0 routing-instance rt-vr set chassis high-availability services-redundancy-group 1 prefix-list lo0 routing-instance rt-vr
Si no asocia una instancia de enrutamiento para la lista de prefijos, la alta disponibilidad de multinodo utiliza la tabla de enrutamiento predeterminada, que podría afectar a la funcionalidad de VPN.
-
Asocie/habilite VPN IPsec al SRG.
Ejemplo:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
Esta configuración le permite asociar VPN IPsec de forma selectiva y flexible a uno de los varios SRG configurados en el firewall de la serie SRX en una configuración de alta disponibilidad de varios nodos.
Puede comprobar la asignación de objetos IKE/IPsec al SRG mediante el siguiente comando:
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
Puede comprobar la asignación de SRG y la lista de prefijos IP mediante el siguiente comando:
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
Si no configura una lista de prefijos, recibirá el siguiente mensaje de advertencia:
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
Consulte Ejemplo: Configurar VPN IPSec en alta disponibilidad de multinodo activo-activo en una red de capa 3 para obtener más información.
Compatibilidad del protocolo de enrutamiento dinámico con VPN IPsec
A partir de Junos OS versión 23.2R1, puede habilitar protocolos de enrutamiento dinámico para VPN IPsec en una configuración de alta disponibilidad de varios nodos mediante túneles locales de nodo. Las rutas que agregan los protocolos de enrutamiento dinámico permanecen locales en un nodo. Estas rutas no están vinculadas a ningún grupo de redundancia de servicios (SRG).
En las versiones anteriores, Multinode High Availability solo admite la implementación del selector de tráfico. Es decir, cuando se configura VPN IPsec mediante selectores de tráfico, la configuración instala rutas teniendo en cuenta el valor de preferencia y la métrica de enrutamiento basada en los prefijos del selector de tráfico.
Cuando configura túneles locales de nodo, tiene túneles separados desde un dispositivo par VPN a ambos nodos de la configuración de alta disponibilidad de multinodo. Es decir, tiene un túnel nodo-local a cada uno de los dos nodos de alta disponibilidad de multinodo.
La figura 3, la figura 4 y la figura 5 muestran una implementación de VPN IPsec de alta disponibilidad multinodo con túneles sincronizados, túneles locales de nodo y una combinación de túneles sincronizados y túneles locales de nodo, respectivamente.
sincronizados
La figura anterior muestra un túnel VPN IPsec entre un dispositivo par y una configuración de alta disponibilidad de varios nodos. El túnel VPN IPsec se ancla en un SRG1+ activo. El túnel permanece activo cuando el SRG1+ asociado está activo. En esta implementación, el tráfico pasa por el túnel activo (túnel 1).
nodo-local
En la figura anterior, tiene dos túneles locales de nodo entre el dispositivo del mismo nivel VPN y la configuración de alta disponibilidad de varios nodos. Cada túnel se conecta a uno de los dos nodos de la configuración. Estos túneles no están asociados con ningún SRG1+. Uno o ambos túneles pueden permanecer activos en cualquier instante. Según el protocolo de enrutamiento configurado, en cualquier instante, el tráfico se ejecuta a través del túnel 2 o del túnel 3.
nodo-local
En la figura anterior se muestra un túnel VPN IPsec entre un dispositivo del mismo nivel VPN y una configuración de alta disponibilidad de varios nodos. Además, la figura muestra dos túneles locales de nodo entre el dispositivo par VPN y la configuración de alta disponibilidad de multinodo.
El túnel VPN IPsec se ancla en un SRG1+ activo y permanece activo cuando el SRG1+ asociado está activo. En el caso de túneles locales de nodos, ambos túneles permanecen activos.
La Tabla 3 muestra la diferencia entre node-local túneles y túneles sincronizados.
| Funciones | Nodo-Túneles locales Túneles | sincronizados |
|---|---|---|
| Asociación con SRG1+ | No | Sí |
| Sincronización de información de túnel entre nodos de alta disponibilidad multinodo | No | Sí |
| Número de túneles activos | Dos | Una |
Marcar un túnel VPN IPsec como túnel nodo-local
Puede configurar un túnel VPN IPsec como node-local en un firewall serie SRX mediante la instrucción siguiente:
[edit] user@host# set security ike gateway gateway-name node-local
Asegúrese de configurar la node-local opción para ambos nodos en una configuración de alta disponibilidad de varios nodos.
Asegúrese de establecer una preferencia para un túnel al configurar la directiva de enrutamiento.