Compatibilidad con VPN IPsec en alta disponibilidad multinodo
VPN IPsec en modo de copia de seguridad activa
Los firewalls de la serie SRX admiten túneles VPN IPsec en una configuración de alta disponibilidad de múltiples nodos. Antes de Junos OS versión 22.4R1, el túnel VPN IPsec se anclaba en SRG1, donde SRG1 actúa en modo activo/copia de seguridad con estado. En este modo, todos los túneles VPN terminan en el mismo dispositivo donde SRG1 está activo.
La alta disponibilidad multinodo establece un túnel IPsec y realiza intercambios de claves mediante:
-
Asocia dinámicamente la dirección IP flotante del SRG1 activo para la IP de terminación en el despliegue de enrutamiento y asigna la IP de terminación, la IP virtual (VIP), que flota entre los dos dispositivos en modo de conmutación.
-
Generar el perfil de CA, cuando se necesita un perfil de CA dinámico para autenticar el establecimiento del túnel, en el nodo donde SRG1 está activo.
-
Realizar una nueva autenticación y cargar el perfil dinámico en el nodo recién activo y borrar en el nodo antiguo.
Aunque puede ejecutar los show comandos en nodos activos y de reserva para mostrar el estado de las asociaciones de seguridad IKE e IPsec, solo puede eliminar las asociaciones de seguridad IKE e IPsec en el nodo activo.
El servicio VPN se habilita automáticamente cuando se habilita el modo activo/copia de seguridad mediante el set chassis high-availability services-redundancy-group 1 comando. Consulte el ejemplo de configuración para obtener más detalles.
Los archivos PKI se sincronizan con el nodo par solo si habilita el cifrado de vínculos para la ICL.
Recomendamos la siguiente secuencia cuando configure VPN con alta disponibilidad multinodo en su dispositivo de seguridad:
-
En el nodo de copia de seguridad, configure la puerta de enlace IKE de seguridad, VPN IPsec, interfaces st0.x y zonas de seguridad y, a continuación, confirme la configuración.
-
En el nodo activo, configure la puerta de enlace IKE de seguridad, VPN IPsec, interfaz st0.x, zonas de seguridad y ruta estática y confirme la configuración.
Debe confirmar la configuración en el nodo de copia de seguridad antes de confirmar la configuración en el nodo activo si no usa la opción de sincronización de confirmación.
Procesar paquetes en el nodo de copia de seguridad
Cuando se utiliza la process-packet-on-backup opción de Alta disponibilidad de varios nodos, el motor de reenvío de paquetes reenvía paquetes en el nodo de copia de seguridad para el SRG correspondiente. Esta configuración procesa paquetes VPN en el nodo de copia de seguridad incluso cuando el nodo no está en modo activo; De este modo, se elimina el retraso cuando el nodo de copia de seguridad pasa al rol activo después de una conmutación por error. El proceso de paquetes continúa incluso durante el período de transición.
Puede configurar el paquete de proceso en la copia de seguridad en una SRG1 mediante la instrucción [set chassis high-availability services-redundancy-group name process-packet-on-backup].
VPN IPsec en modo activo-activo
A partir de Junos OS versión 22.4R1, puede configurar la alta disponibilidad de varios nodos para que funcione en modo activo-activo compatible con varias SRG1 (SRG1+) para VPN IPsec. En este modo, algunas SRG permanecen activas en un nodo y algunas SRG permanecen activas en otro nodo. Un SRG en particular siempre funciona en modo de copia de seguridad activa; Funciona en modo activo en un nodo y en modo de copia de seguridad en otro nodo.
La alta disponibilidad de varios nodos admite VPN IPsec en modo activo-activo con varias SRG (SRG1+). En este modo, puede establecer varios túneles activos desde ambos nodos, en función de la actividad de SRG. Dado que diferentes SRG pueden estar activos en diferentes nodos, los túneles que pertenecen a estos SRG aparecen en ambos nodos de forma independiente. Tener túneles activos en ambos nodos permite cifrar/descifrar el tráfico de datos en ambos nodos, lo que resulta en un uso eficiente del ancho de banda.
Figura 1 y Figura 2 muestran diferencias en los túneles VPN IPsec de alta disponibilidad de varios nodos activo-copia de seguridad y activo-activo.
de varios nodos
multinodo
La alta disponibilidad multinodo establece un túnel IPsec y realiza intercambios de claves asociando la dirección IP de terminación (que también identifica los túneles que terminan en ella) al SRG. Dado que diferentes SRG1+ pueden estar en estado activo o en estado de respaldo en cada uno de los dispositivos, la alta disponibilidad de multinodo dirige el tráfico coincidente de manera efectiva al SRG1 activo correspondiente. La alta disponibilidad multinodo también mantiene el ID de SRG y la información de asignación de prefijo IP.
La Tabla 1 y la Tabla 2 proporcionan detalles sobre el impacto en los túneles VPN IPsec debido a cambios en los cambios de SRG1+.
| Impacto de los cambios de SRG1 | en los túneles VPN IPSec |
|---|---|
| Adición de SRG | Sin impacto en los túneles existentes |
| Eliminación de SRG | Elimina todas las rutas asociadas con el SRG. |
| Modificación del atributo SRG (que no sea la lista de prefijos) | Sin impacto en los túneles existentes |
| Modificación del ID de SRG | Elimina todos los túneles existentes asociados con la SRG. |
| Modificación del prefijo IP en la lista de prefijos | Elimina todos los túneles asignados a ese prefijo IP en particular. No hay impacto si no hay una asignación de túnel existente al prefijo IP modificado. |
| El estado de SRG cambia | la acción de la alta disponibilidad de multinodo |
|---|---|
|
|
Elimina todos los datos correspondientes a esa SRG y vuelve a sincronizar desde nueva la SRG activa |
|
|
Elimina todos los datos correspondientes a esa SRG y vuelve a sincronizar desde nueva la SRG activa |
|
|
No aplica |
|
|
Sin acción |
|
|
Sin acción |
|
|
Sin acción |
|
|
Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción) |
|
|
Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción) |
|
|
Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción) |
Asociar el servicio VPN IPsec a un SRG
Las versiones anteriores a 22.4R1 solo admitían SRG0 y SRG1, y SRG1 estaba asociado a VPN IPsec de forma predeterminada. En 22.4R1, un SRG no está asociado al servicio VPN IPSec de forma predeterminada. Debe asociar el servicio VPN IPsec a cualquiera de las varias SRG de la siguiente manera:
- Especificación de IPsec como servicio administrado
Ex:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec] - Creación de una lista de prefijos IP
Ex:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>][set policy-options prefix-list <name> <IP address>
Cuando tiene varios SRG en la configuración de alta disponibilidad de multinodo, algunos SRG están en estado activo en un nodo y algunos SRG están activos en otro nodo. Puede anclar determinados túneles IPsec a un nodo determinado (firewall de la serie SRX) configurando una lista de prefijos IP.
En la configuración de VPN IPsec, una puerta de enlace IKE inicia y finaliza las conexiones de red entre dos dispositivos de seguridad. El extremo local (puerta de enlace IKE local) es la interfaz de la serie SRX que inicia las negociaciones de IKE. La puerta de enlace IKE local tiene una dirección IP local, una dirección IP enrutable públicamente en el firewall, que la conexión VPN utiliza como punto de conexión.
La lista de prefijos IP incluye una lista de prefijos de dirección IPv4 o IPv6, que se utilizan como dirección local de una puerta de enlace IKE. Puede asociar estos prefijos IP (prefix-list) con un SRG1 especificado para anunciar la dirección local de la puerta de enlace de IKE con una preferencia más alta según el estado del SRG.
Para anclar un túnel VPN IPsec determinado a un dispositivo de seguridad determinado, debe:
-
Cree una lista de prefijos IP incluyendo la dirección local de la puerta de enlace IKE y asocie la lista de prefijos IP al SRG:
Ejemplo:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
- Defina la instancia de enrutamiento para la lista de prefijos.
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 routing-instance rt-vr set chassis high-availability services-redundancy-group 1 prefix-list lo0_2 routing-instance rt-vr
Si no asocia una instancia de enrutamiento para la lista de prefijos, la alta disponibilidad de multinodo utiliza la tabla de enrutamiento predeterminada, que podría afectar a la funcionalidad de VPN.
-
Asocie/habilite VPN IPsec al SRG.
Ejemplo:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
Esta configuración le permite asociar VPN IPsec de forma selectiva y flexible a uno de los varios SRG configurados en el firewall de la serie SRX en una configuración de alta disponibilidad de varios nodos.
Puede comprobar la asignación de objetos IKE/IPsec al SRG mediante el siguiente comando:
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
Puede comprobar la asignación de SRG y la lista de prefijos IP mediante el siguiente comando:
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
Si no configura una lista de prefijos, recibirá el siguiente mensaje de advertencia:
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
Consulte Ejemplo: Configurar VPN IPSec en alta disponibilidad de multinodo activo-activo en una red de capa 3 para obtener más información.
Compatibilidad del protocolo de enrutamiento dinámico con VPN IPsec
A partir de Junos OS versión 23.2R1, puede habilitar protocolos de enrutamiento dinámico para VPN IPsec en una configuración de alta disponibilidad de varios nodos mediante túneles locales de nodo. Las rutas que agregan los protocolos de enrutamiento dinámico permanecen locales en un nodo. Estas rutas no están vinculadas a ningún grupo de redundancia de servicios (SRG).
En las versiones anteriores, Multinode High Availability solo admite la implementación del selector de tráfico. Es decir, cuando se configura VPN IPsec mediante selectores de tráfico, la configuración instala rutas teniendo en cuenta el valor de preferencia y la métrica de enrutamiento basada en los prefijos del selector de tráfico.
Cuando configura túneles locales de nodo, tiene túneles separados desde un dispositivo par VPN a ambos nodos de la configuración de alta disponibilidad de multinodo. Es decir, tiene un túnel nodo-local a cada uno de los dos nodos de alta disponibilidad de multinodo.
La figura 3, la figura 4 y la figura 5 muestran una implementación de VPN IPsec de alta disponibilidad multinodo con túneles sincronizados, túneles locales de nodo y una combinación de túneles sincronizados y túneles locales de nodo, respectivamente.
sincronizados
La figura anterior muestra un túnel VPN IPsec entre un dispositivo par y una configuración de alta disponibilidad de varios nodos. El túnel VPN IPsec se ancla en un SRG1+ activo. El túnel permanece activo cuando el SRG1+ asociado está activo. En esta implementación, el tráfico pasa por el túnel activo (túnel 1).
nodo-local
En la figura anterior, tiene dos túneles locales de nodo entre el dispositivo del mismo nivel VPN y la configuración de alta disponibilidad de varios nodos. Cada túnel se conecta a uno de los dos nodos de la configuración. Estos túneles no están asociados con ningún SRG1+. Uno o ambos túneles pueden permanecer activos en cualquier instante. Según el protocolo de enrutamiento configurado, en cualquier instante, el tráfico se ejecuta a través del túnel 2 o del túnel 3.
nodo-local
En la figura anterior se muestra un túnel VPN IPsec entre un dispositivo del mismo nivel VPN y una configuración de alta disponibilidad de varios nodos. Además, la figura muestra dos túneles locales de nodo entre el dispositivo par VPN y la configuración de alta disponibilidad de multinodo.
El túnel VPN IPsec se ancla en un SRG1+ activo y permanece activo cuando el SRG1+ asociado está activo. En el caso de túneles locales de nodos, ambos túneles permanecen activos.
La Tabla 3 muestra la diferencia entre node-local túneles y túneles sincronizados.
| Funciones | Nodo-Túneles locales | Túneles sincronizados |
|---|---|---|
| Asociación con SRG1+ | No | Sí |
| Sincronización de información de túnel entre nodos de alta disponibilidad multinodo | No | Sí |
| Número de túneles activos | Dos | Uno |
Marcar un túnel VPN IPsec como túnel nodo-local
Puede configurar un túnel VPN IPsec como node-local en un firewall serie SRX mediante la instrucción siguiente:
[edit] user@host# set security ike gateway gateway-name node-local
Asegúrese de configurar la node-local opción para ambos nodos en una configuración de alta disponibilidad de varios nodos.
Asegúrese de establecer una preferencia para un túnel al configurar la directiva de enrutamiento.
Compatibilidad con ADVPN en alta disponibilidad multinodo
A partir de Junos OS versión 24.2R1, Multinode High Availability admite ADVPN en el despliegue de túnel local de nodo.
Los túneles locales de nodo mejoran la alta disponibilidad de múltiples nodos al proporcionar túneles separados desde un dispositivo par VPN a ambos nodos en la configuración. ADVPN permite establecer túneles VPN dinámicamente entre radios. La combinación de ADVPN con alta disponibilidad multinodo en el despliegue de túneles locales de nodo garantiza una conectividad de red sólida, una utilización eficiente de los recursos y una conmutación por error sin problemas.
El protocolo ADVPN permite la creación de una ruta de acceso directo entre las puertas de enlace de dos socios para establecer una ruta óptima para la entrega de datos. Tradicionalmente, en una red radial, el tráfico entre dos radios atraviesa el concentrador. Con ADVPN, el hub recomienda un acceso directo entre sus pares (dispositivos radiales) con los que ha establecido previamente una SA IPsec. La decisión de sugerir un acceso directo depende de la duración y la cantidad de tráfico que fluye entre un par de pares a través del concentrador. Estos pares, llamados como los socios de atajo, aceptan o rechazan esta recomendación, de acuerdo con sus propias políticas.
Los pares aceptan la sugerencia y establecen un SA directo (atajo) entre ellos. Se crea una nueva SA de fase1 y fase2 para cada acceso directo. Este acceso directo se utiliza para establecer una ruta más óptima para la entrega de datos. Todo el tráfico que fluye entre los pares ahora pasa directamente por el túnel de acceso directo entre los pares.
Si los compañeros rechazan la recomendación, responden al sugerente indicando el motivo del rechazo. En este caso, el tráfico continúa fluyendo a través del Sugerente de acceso directo.
La configuración de alta disponibilidad multinodo incluye dos firewalls de la serie SRX que actúan como nodo activo y nodo de respaldo y dos dispositivos de par VPN con configuración de nodo local. En este caso, se establece un túnel VPN IPsec entre un dispositivo par VPN y una configuración de alta disponibilidad de varios nodos.
- Sugerente de acceso directo: observa el tráfico que se mueve entre pares y sugiere accesos directos.
- Socios de acceso directo: son dispositivos pares que forman el túnel de acceso directo. El intercambio de accesos directos se realiza a través de un protocolo IKEv2 extendido.
En la configuración de alta disponibilidad de varios nodos, un dispositivo par VPN, con túnel local de nodo, asume las siguientes funciones:
- Socio de acceso directo de ADVPN
- Sugerente de acceso directo de ADVPN
Con la configuración de ADVPN, un firewall de la serie SRX puede actuar como un sugeridor de acceso directo o como un socio de acceso directo, pero no como sugestor y socio a la vez.
Las siguientes imágenes ilustran cómo la puerta de enlace VPN puede actuar como un sugerente de acceso directo y socio.
- El dispositivo par VPN, que actúa como socio de acceso directo, establece dos túneles: un túnel hacia cada nodo de alta disponibilidad multinodo. En este caso, cada nodo actúa como un sugerente de acceso directo.
Figura 6: Puerta de enlace VPN como socio
de acceso directo
Como se muestra en la ilustración:
- Dos firewalls de la serie SRX en alta disponibilidad multinodo actúan como sugestor de accesos directos: Suggester-1 (nodo activo) y Suggester-2 (nodo de respaldo).
- Dos puertas de enlace VPN actúan como socios de acceso directo: Socio-1 y Socio-2.
- El Partner-1 crea dos túneles; uno hacia Suggester-1 y otro hacia Sugester-2
- El Partner-2 crea dos túneles; uno hacia Suggester-1 y otro hacia Sugester-2
- El tráfico del Socio-1 al Socio-2 pasa por el Sugerente-1. El Sugerente-1 notifica al Socio-1 y al Socio-2 que creen un acceso directo.
- En caso de que el nodo activo (sugerente-1) falle y ambos túneles del Sugerente-1 al Socio-1 y al Socio-2 estén inactivos, en ese caso:
-
- El acceso directo creado anteriormente permanece activo, sin embargo, el flujo de tráfico del Socio-1 al Socio-2 pasa a través del Sugerente-2. En este caso, el Sugerente-2 sugiere un atajo entre el Socio-1 y el Socio-2. Dado que el acceso directo ya existe entre el Socio-1 y el Socio-2, la sugerencia para el nuevo acceso directo Sugerente-2 es rechazada.
- Dispositivo par VPN que actúa como sugerente de acceso directo. En este caso, cada nodo de alta disponibilidad multinodo actúa como socio de acceso directo y establece un túnel independiente hacia el dispositivo par VPN.
Figura 7: Puerta de enlace VPN como sugerente de
acceso directo
- Los firewalls de la serie SRX en alta disponibilidad multinodo actúan como Partner-1-A y Partner-1-B.
- Una puerta de enlace VPN actúa como sugestor y otro firewall de la serie SRX actúa como socio 2.
- El socio-1-A (nodo activo) crea un túnel estático (túnel activo) con Suggester.
- El socio-1-B (nodo de respaldo) crea un túnel estático (túnel de respaldo) con Suggester.
- El tráfico del socio-1-A al socio-2 fluye a través del Sugerente.
- El sugeridor sugiere crear un acceso directo entre el Socio-1-A y el Socio-2.
- El socio-1-A y el socio-2 crean un acceso directo entre ellos. Tenga en cuenta que si el túnel estático entre los socios y el sugerente deja de funcionar, no hay ningún impacto en el túnel de acceso directo. El tráfico sigue fluyendo a través del túnel de acceso directo incluso después de que el túnel estático deja de funcionar.
Aspectos destacados de la configuración
- Configure la alta disponibilidad de varios nodos en los firewalls de la serie SRX. Consulte Ejemplo: Configurar la alta disponibilidad de varios nodos en una red de capa 3.
- Asegúrese de configurar la
node-localopción para ambos nodos en una configuración de alta disponibilidad de varios nodos. Ejemplo:set security ike gateway gateway-name node-local
- Configure los roles de socio de acceso directo o sugerente de acceso directo en el firewall de la serie SRX, según corresponda. Consulte VPN de detección automática.
De forma predeterminada, tanto el sugerente de acceso directo como las opciones de socio de acceso directo están habilitadas si configura advpn en la jerarquía de puerta de enlace IKE. Debe deshabilitar explícitamente la opción del sugerente o la opción de socio para deshabilitar esa funcionalidad en particular.
[edit security ike]
gateway gateway_1 {
…
node-local
…
advpn {
partner disable;
}
}
[edit security ike]
gateway gateway_1 {
advpn {
suggester disable;
partner {
connection-limit 5;
idle-time 300;
}
}
}
Limitaciones
- La configuración de un sugerente de ADVPN solo está permitida en concentradores AutoVPN donde como funcionalidad de socio para la configuración radial.
- No puede configurar los roles de sugerente y socio en la misma puerta de enlace de IKE
- ADVPN no admite IKEv1
- No puede crear un acceso directo entre socios que estén detrás de dispositivos NAT.