Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Compatibilidad con VPN IPsec en alta disponibilidad multinodo

VPN IPsec en modo de copia de seguridad activa

Los firewalls de la serie SRX admiten túneles VPN IPsec en una configuración de alta disponibilidad de múltiples nodos. Antes de Junos OS versión 22.4R1, el túnel VPN IPsec se anclaba en SRG1, donde SRG1 actúa en modo activo/copia de seguridad con estado. En este modo, todos los túneles VPN terminan en el mismo dispositivo donde SRG1 está activo.

La alta disponibilidad multinodo establece un túnel IPsec y realiza intercambios de claves mediante:

  • Asocia dinámicamente la dirección IP flotante del SRG1 activo para la IP de terminación en el despliegue de enrutamiento y asigna la IP de terminación, la IP virtual (VIP), que flota entre los dos dispositivos en modo de conmutación.

  • Generar el perfil de CA, cuando se necesita un perfil de CA dinámico para autenticar el establecimiento del túnel, en el nodo donde SRG1 está activo.

  • Realizar una nueva autenticación y cargar el perfil dinámico en el nodo recién activo y borrar en el nodo antiguo.

Aunque puede ejecutar los show comandos en nodos activos y de reserva para mostrar el estado de las asociaciones de seguridad IKE e IPsec, solo puede eliminar las asociaciones de seguridad IKE e IPsec en el nodo activo.

El servicio VPN se habilita automáticamente cuando se habilita el modo activo/copia de seguridad mediante el set chassis high-availability services-redundancy-group 1 comando. Consulte el ejemplo de configuración para obtener más detalles.

Nota:

Los archivos PKI se sincronizan con el nodo par solo si habilita el cifrado de vínculos para la ICL.

Propina:

Recomendamos la siguiente secuencia cuando configure VPN con alta disponibilidad multinodo en su dispositivo de seguridad:

  • En el nodo de copia de seguridad, configure la puerta de enlace IKE de seguridad, VPN IPsec, interfaces st0.x y zonas de seguridad y, a continuación, confirme la configuración.

  • En el nodo activo, configure la puerta de enlace IKE de seguridad, VPN IPsec, interfaz st0.x, zonas de seguridad y ruta estática y confirme la configuración.

Debe confirmar la configuración en el nodo de copia de seguridad antes de confirmar la configuración en el nodo activo si no usa la opción de sincronización de confirmación.

Procesar paquetes en el nodo de copia de seguridad

Cuando se utiliza la process-packet-on-backup opción de Alta disponibilidad de varios nodos, el motor de reenvío de paquetes reenvía paquetes en el nodo de copia de seguridad para el SRG correspondiente. Esta configuración procesa paquetes VPN en el nodo de copia de seguridad incluso cuando el nodo no está en modo activo; De este modo, se elimina el retraso cuando el nodo de copia de seguridad pasa al rol activo después de una conmutación por error. El proceso de paquetes continúa incluso durante el período de transición.

Puede configurar el paquete de proceso en la copia de seguridad en una SRG1 mediante la instrucción [set chassis high-availability services-redundancy-group name process-packet-on-backup].

VPN IPsec en modo activo-activo

A partir de Junos OS versión 22.4R1, puede configurar la alta disponibilidad de varios nodos para que funcione en modo activo-activo compatible con varias SRG1 (SRG1+) para VPN IPsec. En este modo, algunas SRG permanecen activas en un nodo y algunas SRG permanecen activas en otro nodo. Un SRG en particular siempre funciona en modo de copia de seguridad activa; Funciona en modo activo en un nodo y en modo de copia de seguridad en otro nodo.

La alta disponibilidad de varios nodos admite VPN IPsec en modo activo-activo con varias SRG (SRG1+). En este modo, puede establecer varios túneles activos desde ambos nodos, en función de la actividad de SRG. Dado que diferentes SRG pueden estar activos en diferentes nodos, los túneles que pertenecen a estos SRG aparecen en ambos nodos de forma independiente. Tener túneles activos en ambos nodos permite cifrar/descifrar el tráfico de datos en ambos nodos, lo que resulta en un uso eficiente del ancho de banda.

Figura 1 Y Figura 2 muestran diferencias en los túneles VPN IPsec de alta disponibilidad de varios nodos activo-copia de seguridad y activo-activo.
Figura 1: Túnel VPN IPsec de copia de seguridad activa en alta disponibilidad Active-Backup IPsec VPN Tunnel in Multinode High Availability de varios nodos
Figura 2: Túnel VPN IPsec activo-activo en alta disponibilidad Active-Active IPsec VPN Tunnel in Multinode High Availability multinodo

La alta disponibilidad multinodo establece un túnel IPsec y realiza intercambios de claves asociando la dirección IP de terminación (que también identifica los túneles que terminan en ella) al SRG. Dado que diferentes SRG1+ pueden estar en estado activo o en estado de respaldo en cada uno de los dispositivos, la alta disponibilidad de multinodo dirige el tráfico coincidente de manera efectiva al SRG1 activo correspondiente. La alta disponibilidad multinodo también mantiene el ID de SRG y la información de asignación de prefijo IP.

La Tabla 1 y la Tabla 2 proporcionan detalles sobre el impacto en los túneles VPN IPsec debido a cambios en los cambios de SRG1+.

Impacto de los
Tabla 1: Impacto en los túneles VPN IPsec debido a la modificación de SRG1+
cambios de SRG1 en los túneles VPN IPSec
Adición de SRG Sin impacto en los túneles existentes
Eliminación de SRG

Elimina todas las rutas asociadas con el SRG.

Modificación del atributo SRG (que no sea la lista de prefijos) Sin impacto en los túneles existentes
Modificación del ID de SRG Elimina todos los túneles existentes asociados con la SRG.
Modificación del prefijo IP en la lista de prefijos

Elimina todos los túneles asignados a ese prefijo IP en particular.

No hay impacto si no hay una asignación de túnel existente al prefijo IP modificado.

la
Tabla 2: Impacto en los túneles VPN IPsec debido a cambios de estado SRG1+
El estado de SRG cambiaacción de la alta disponibilidad de multinodo

Active Para Backup

Elimina todos los datos correspondientes a esa SRG y vuelve a sincronizar desde nueva la SRG activa

Active Para Ineligible

Elimina todos los datos correspondientes a esa SRG y vuelve a sincronizar desde nueva la SRG activa

Active Para Hold

No aplica

Backup Para Active

Sin acción

Ineligible Para Active

Sin acción

Hold Para Active

Sin acción

Hold Para Backup

Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción)

Ineligible Para Backup

Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción)

Hold Para Ineligible

Sin acción (posible transición de estado; si el estado activo no está involucrado en el estado anterior o posterior, no se requiere ninguna acción)

Asociar el servicio VPN IPsec a un SRG

Las versiones anteriores a 22.4R1 solo admitían SRG0 y SRG1, y SRG1 estaba asociado a VPN IPsec de forma predeterminada. En 22.4R1, un SRG no está asociado al servicio VPN IPSec de forma predeterminada. Debe asociar el servicio VPN IPsec a cualquiera de las varias SRG de la siguiente manera:

  • Especificación de IPsec como servicio administrado

    Ej: [set chassis high-availability services-redundancy-group <id> managed-services ipsec]

  • Creación de una lista de prefijos IP

    Ej: [set chassis high-availability services-redundancy-group <id> prefix-list <name>]

    [set policy-options prefix-list <name> <IP address>

Cuando tiene varios SRG en la configuración de alta disponibilidad de multinodo, algunos SRG están en estado activo en un nodo y algunos SRG están activos en otro nodo. Puede anclar determinados túneles IPsec a un nodo determinado (firewall de la serie SRX) configurando una lista de prefijos IP.

En la configuración de VPN IPsec, una puerta de enlace IKE inicia y finaliza las conexiones de red entre dos dispositivos de seguridad. El extremo local (puerta de enlace IKE local) es la interfaz de la serie SRX que inicia las negociaciones de IKE. La puerta de enlace IKE local tiene una dirección IP local, una dirección IP enrutable públicamente en el firewall, que la conexión VPN utiliza como punto de conexión.

La lista de prefijos IP incluye una lista de prefijos de dirección IPv4 o IPv6, que se utilizan como dirección local de una puerta de enlace IKE. Puede asociar estos prefijos IP (prefix-list) con un SRG1 especificado para anunciar la dirección local de la puerta de enlace de IKE con una preferencia más alta según el estado del SRG.

Para anclar un túnel VPN IPsec determinado a un dispositivo de seguridad determinado, debe:

  • Cree una lista de prefijos IP incluyendo la dirección local de la puerta de enlace IKE y asocie la lista de prefijos IP al SRG:

    Ejemplo:

  • Defina la instancia de enrutamiento para la lista de prefijos.

    Si no asocia una instancia de enrutamiento para la lista de prefijos, la alta disponibilidad de multinodo utiliza la tabla de enrutamiento predeterminada, que podría afectar a la funcionalidad de VPN.

  • Asocie/habilite VPN IPsec al SRG.

    Ejemplo:

    Esta configuración le permite asociar VPN IPsec de forma selectiva y flexible a uno de los varios SRG configurados en el firewall de la serie SRX en una configuración de alta disponibilidad de varios nodos.

Puede comprobar la asignación de objetos IKE/IPsec al SRG mediante el siguiente comando:

Puede comprobar la asignación de SRG y la lista de prefijos IP mediante el siguiente comando:

Si no configura una lista de prefijos, recibirá el siguiente mensaje de advertencia:

Consulte Ejemplo: Configurar VPN IPSec en alta disponibilidad de multinodo activo-activo en una red de capa 3 para obtener más información.

Compatibilidad del protocolo de enrutamiento dinámico con VPN IPsec

A partir de Junos OS versión 23.2R1, puede habilitar protocolos de enrutamiento dinámico para VPN IPsec en una configuración de alta disponibilidad de varios nodos mediante túneles locales de nodo. Las rutas que agregan los protocolos de enrutamiento dinámico permanecen locales en un nodo. Estas rutas no están vinculadas a ningún grupo de redundancia de servicios (SRG).

En las versiones anteriores, Multinode High Availability solo admite la implementación del selector de tráfico. Es decir, cuando se configura VPN IPsec mediante selectores de tráfico, la configuración instala rutas teniendo en cuenta el valor de preferencia y la métrica de enrutamiento basada en los prefijos del selector de tráfico.

Cuando configura túneles locales de nodo, tiene túneles separados desde un dispositivo par VPN a ambos nodos de la configuración de alta disponibilidad de multinodo. Es decir, tiene un túnel nodo-local a cada uno de los dos nodos de alta disponibilidad de multinodo.

La figura 3, la figura 4 y la figura 5 muestran una implementación de VPN IPsec de alta disponibilidad multinodo con túneles sincronizados, túneles locales de nodo y una combinación de túneles sincronizados y túneles locales de nodo, respectivamente.

Figura 3: Implementación de alta disponibilidad multinodo con túneles Multinode High Availability Deployment with Synced Tunnels sincronizados

La figura anterior muestra un túnel VPN IPsec entre un dispositivo par y una configuración de alta disponibilidad de varios nodos. El túnel VPN IPsec se ancla en un SRG1+ activo. El túnel permanece activo cuando el SRG1+ asociado está activo. En esta implementación, el tráfico pasa por el túnel activo (túnel 1).

Figura 4: Implementación de alta disponibilidad multinodo con túnel Multinode High Availability Deployment with Node-Local Tunnel nodo-local

En la figura anterior, tiene dos túneles locales de nodo entre el dispositivo del mismo nivel VPN y la configuración de alta disponibilidad de varios nodos. Cada túnel se conecta a uno de los dos nodos de la configuración. Estos túneles no están asociados con ningún SRG1+. Uno o ambos túneles pueden permanecer activos en cualquier instante. Según el protocolo de enrutamiento configurado, en cualquier instante, el tráfico se ejecuta a través del túnel 2 o del túnel 3.

Figura 5: Implementación de alta disponibilidad multinodo con combinación de túneles sincronizados y túneles Multinode High Availability Deployment with Combination of Synced Tunnels and Node-Local Tunnels nodo-local

En la figura anterior se muestra un túnel VPN IPsec entre un dispositivo del mismo nivel VPN y una configuración de alta disponibilidad de varios nodos. Además, la figura muestra dos túneles locales de nodo entre el dispositivo par VPN y la configuración de alta disponibilidad de multinodo.

El túnel VPN IPsec se ancla en un SRG1+ activo y permanece activo cuando el SRG1+ asociado está activo. En el caso de túneles locales de nodos, ambos túneles permanecen activos.

La Tabla 3 muestra la diferencia entre node-local túneles y túneles sincronizados.

Tabla 3: Diferencia entre túneles nodo-local y túneles sincronizados
Funciones Nodo-Túneles locales Túneles sincronizados
Asociación con SRG1+ No
Sincronización de información de túnel entre nodos de alta disponibilidad multinodo No
Número de túneles activos Dos Una

Marcar un túnel VPN IPsec como túnel nodo-local

Puede configurar un túnel VPN IPsec como node-local en un firewall serie SRX mediante la instrucción siguiente:

Asegúrese de configurar la node-local opción para ambos nodos en una configuración de alta disponibilidad de varios nodos.

Asegúrese de establecer una preferencia para un túnel al configurar la directiva de enrutamiento.