Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configurar VPN IPSec en multinodo activo-activo de alta disponibilidad en una red de capa 3

RESUMEN En este ejemplo se muestra cómo configurar y comprobar VPN IPsec para la configuración de alta disponibilidad de multinodo activo-activo.

Visión general

En la alta disponibilidad de varios nodos, los firewalls de la serie SRX participantes funcionan como nodos independientes en una red de capa 3. Los nodos están conectados a una infraestructura adyacente que pertenece a diferentes redes. Un vínculo lógico cifrado entre chasis (ICL) conecta los nodos a través de una red enrutada. Los nodos participantes se respaldan entre sí para garantizar una conmutación por error rápida y sincronizada en caso de fallo del sistema o del hardware.

Puede operar la alta disponibilidad de varios nodos en modo activo-activo con soporte de varios grupos de redundancia de servicios (SRG). En este modo, algunas SRG permanecen activas en un nodo y algunas SRG permanecen activas en otro nodo.

La alta disponibilidad de varios nodos admite VPN IPsec en modo activo-activo con varias SRG (SRG1+). En este modo, puede establecer varios túneles activos desde ambos nodos, en función de la actividad de SRG. La alta disponibilidad multinodo establece un túnel IPsec y realiza intercambios de claves asociando la dirección IP de terminación (que también identifica los túneles que terminan en ella) al SRG. Dado que diferentes SRG1+ pueden estar en estado activo o en estado de respaldo en cada uno de los dispositivos, la alta disponibilidad de multinodo dirige el tráfico coincidente de manera efectiva al SRG1 activo correspondiente. Dado que diferentes SRG pueden estar activos en diferentes nodos, los túneles que pertenecen a estos SRG aparecen en ambos nodos de forma independiente.

Nota:

Admitimos una configuración de dos nodos en la solución Multinode High Availability.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls de la serie SRX (los dispositivos compatibles son SRX5400, SRX5600 y SRX5800 con SPC3, IOC3, SCB3, SCB4 y RE3)

  • Junos OS versión 22.4R1

En este ejemplo, hemos utilizado dos plataformas de enrutamiento de la serie MX de Juniper Networks como enrutadores ascendentes y descendentes.

Antes de empezar

  • Configure el filtrado de firewall sin estado y la calidad de servicio (QoS) según los requisitos de su red y tenga las políticas de seguridad adecuadas para administrar el tráfico en su red.

  • En una implementación típica de alta disponibilidad, tiene varios enrutadores y conmutadores en los lados norte y sur de la red. Para este ejemplo, estamos usando dos enrutadores a cada lado de los firewalls de la serie SRX. Asegúrese de haber configurado los enrutadores ascendentes y descendentes según los requisitos de su red.

  • Instale el paquete IKE de Junos en los firewalls de la serie SRX mediante el request system software add optional://junos-ike.tgz comando. El junos-ike paquete se incluye en los paquetes de software de Junos (versión 20.4R1 de Junos OS en adelante).

Topología

La figura 1 muestra la topología utilizada en este ejemplo.

Figura 1: Alta disponibilidad de múltiples nodos en redes Multinode High Availability in Layer 3 Network de capa 3

Como se muestra en la topología, dos firewalls de la serie SRX (SRX-1 y SRX-2) están conectados a enrutadores adyacentes en el lado de confianza y no confianza que forman una vecindad BGP. Un vínculo lógico cifrado entre chasis (ICL) conecta los nodos a través de una red enrutada. Los nodos se comunican entre sí mediante una dirección IP enrutable (dirección IP flotante) a través de la red.

El dispositivo SRX-03 actúa como un dispositivo par para la configuración de alta disponibilidad de multinodo y establece túneles VPN IPsec con dispositivos SRX-01 y SRX-02.

Realizará las siguientes tareas para crear una configuración de alta disponibilidad de multinodo:

  • Configure un par de firewalls de la serie SRX como nodos locales y pares mediante la asignación de ID.
  • Configure grupos de redundancia de servicios (SRG1 y SRG2).
  • Configure una interfaz de circuito cerrado (lo0.0) para alojar la dirección IP flotante y llegar a la puerta de enlace del mismo nivel. El uso de la interfaz de circuito cerrado garantiza que, en un momento dado, el tráfico de los enrutadores adyacentes se dirigirá hacia la dirección IP flotante (es decir, hacia el nodo activo).
  • Configurar sondeos IP para la determinación de la actividad y el cumplimiento
  • Configure una ruta de señal necesaria para la aplicación de la actividad y utilícela junto con la política de existencia de ruta.
  • Configure un perfil de VPN para el tráfico de alta disponibilidad (ICL) mediante IKEv2.
  • Configurar las opciones de supervisión de BFD
  • Configurar una directiva de enrutamiento y opciones de enrutamiento
  • Configure interfaces y zonas de acuerdo con sus requisitos de red. Debe permitir servicios como IKE para el cifrado de vínculos y SSH para la sincronización de la configuración como servicios del sistema de entrada de host en la zona de seguridad asociada a la ICL.
  • Cree una configuración de grupo para VPN IPsec en dispositivos SRX-01 y SRX-02 para establecer un túnel con dispositivo par VPN (SRX-03). Los grupos de configuración permiten aplicar elementos comunes que se reutilizan dentro de la misma configuración.

  • Configure las opciones de VPN IPsec para establecer túneles con el dispositivo SRX-03 y habilite la sincronización de configuración de VPN IPsec en ambos dispositivos (SRX-01 y SRX-02) mediante la opción [grupos].
  • Configure el dispositivo par VPN con opciones de VPN IPsec.

Para el vínculo entre chasis (ICL), se recomienda la siguiente configuración:

  • En general, puede utilizar Ethernet agregada (AE) o un puerto Ethernet de ingresos en los firewalls de la serie SRX para configurar una conexión ICL. En este ejemplo, hemos utilizado puertos GE para la ICL. También hemos configurado una instancia de enrutamiento para la ruta de ICL a fin de garantizar la máxima segmentación.

  • No utilice los puertos HA dedicados (puertos de control y de estructura) si están disponibles en el firewall de la serie SRX).
  • Conjunto de MTU de 1514
  • Permitir los siguientes servicios en la zona de seguridad asociada a las interfaces utilizadas para ICL
    • IKE, alta disponibilidad, SSH

    • Protocolos en función del protocolo de enrutamiento que necesite.

    • BFD para monitorear las rutas vecinas.

Puede configurar las siguientes opciones en SRG0 y SRG1+:

Puede configurar las siguientes opciones en SRG0 y SRG1:

  • SRG1: Ruta de señal activa/de respaldo, tipo de despliegue, prioridad de actividad, preferencia, dirección IP virtual (para despliegues de puerta de enlace predeterminada), sondeo de actividad y paquete de proceso en copia de seguridad.

  • SRG1: monitoreo de BFD, monitoreo de IP y opciones de monitoreo de interfaz en SRG1.

  • SRG0: opciones de ruta de apagado en caso de error e instalación en caso de error.

    Cuando configure las opciones de supervisión (BFD, IP o Interfaz) en SRG1, se recomienda no configurar la opción de apagado por error en SRG0.

  • SRG1: Ruta de señal activa/de respaldo, tipo de despliegue, prioridad de actividad, preferencia, dirección IP virtual (para despliegues de puerta de enlace predeterminada), sondeo de actividad y paquete de proceso en copia de seguridad.

  • SRG1: monitoreo de BFD, monitoreo de IP y opciones de monitoreo de interfaz en SRG1.

  • SRG0: opciones de ruta de apagado en caso de error e instalación en caso de error.

    Cuando configure las opciones de supervisión (BFD, IP o Interfaz) en SRG1, se recomienda no configurar la opción de apagado por error en SRG0.

En la tabla 1 se muestran los detalles sobre la configuración de interfaces utilizados en este ejemplo.

de de
Tabla 1: Configuración de interfaces y direcciones IP en dispositivos de seguridad
Dirección IPzona interfaz de dispositivo configurada para
SRX-01 lo0

Untrust

10.11.0.1/32

Dirección IP flotante

Dirección de puerta de enlace de IKE

10.12.0.1/32

Dirección de puerta de enlace de IKE

ge-0/0/2

ICL

10.22.0.2/24

Conexión de ICL

ge-0/0/4

Confianza

10.5.0.1/24

Se conecta al enrutador R2

ge-0/0/3

Untrust

10.3.0.2/24

Se conecta al enrutador R1

SRX-02

lo0

Untrust

10.12.0.1/32

Dirección IP flotante

Dirección de puerta de enlace de IKE

10.11.0.1/32

Dirección de puerta de enlace de IKE

ge-0/0/2

ICL

10.22.0.1/24

Conexión de ICL

ge-0/0/3

Untrust

10.2.0.2/24

Se conecta al enrutador R1

ge-0/0/4

Confianza

10.4.0.1/24

Se conecta al enrutador R2

SRX-03 lo0

Untrust

10.112.0.1/32

Dirección de puerta de enlace de IKE

10.112.0.5/32

Dirección de puerta de enlace de IKE

ge-0/0/0

Untrust

10.7.0.1/24

Se conecta al enrutador R2

ge-0/0/2

Confianza

10.6.0.2/24

Se conecta al dispositivo cliente

de
Tabla 2: Configuración de interfaces y direcciones IP en dispositivos de enrutamiento
Dirección IPinterfaz de dispositivo configurada para
R2 lo0

10.111.0.2/32

Dirección de interfaz de circuito cerrado de R2

ge-0/0/1

10.4.0.2/24

Se conecta al SRX-02

ge-0/0/0

10.5.0.2/24

Se conecta al SRX-01

ge-0/0/2

10.7.0.2/24

Se conecta a SRX-03 (dispositivo par VPN)

R1 lo0

10.111.0.1/32

Dirección de interfaz de circuito cerrado de R1

ge-0/0/0

10.3.0.1/24

Se conecta al SRX-01

ge-0/0/1

10.2.0.1/24

Se conecta al SRX-02

Configuración

Antes de empezar

Se requiere un paquete IKE de Junos en los firewalls de la serie SRX para la configuración de alta disponibilidad de varios nodos. Este paquete está disponible como un paquete predeterminado o como un paquete opcional en los firewalls de la serie SRX. Consulte Soporte para el paquete IKE de Junos para obtener más información.

Si el paquete no está instalado de forma predeterminada en el firewall de la serie SRX, utilice el siguiente comando para instalarlo. Necesita este paso para el cifrado ICL.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Estas configuraciones se capturan desde un entorno de laboratorio y se proporcionan solo como referencia. Las configuraciones reales pueden variar según los requisitos específicos de su entorno.

Dispositivo SRX-01

Dispositivo SRX-02

Dispositivo SRX-3

En las secciones siguientes se muestran los fragmentos de configuración de los enrutadores necesarios para configurar la configuración de alta disponibilidad de varios nodos en la red.

Enrutador R1

Enrutador R2

Configuración

Procedimiento paso a paso

Mostramos la configuración de SRX-01 en el procedimiento paso a paso.

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

  1. Configurar interfaces.

    Utilice las interfaces ge-0/0/3 y ge-0/0/4 para conectarse a los enrutadores ascendentes y descendentes y utilice la interfaz ge-0/0/2 para configurar la ICL.

  2. Configure las interfaces de circuito cerrado.

    Asigne las direcciones IP 10.11.0.1 y 10.12.0.1 a la interfaz de circuito cerrado. Usaremos 10.11.0.1 como dirección IP flotante y 10.12.0.1 como dirección de puerta de enlace IKE.

  3. Configure las zonas de seguridad, asigne interfaces a las zonas y especifique los servicios del sistema permitidos para las zonas de seguridad.

    Asigne a las interfaces ge-0/0/3 y ge-0/0/4 las zonas de confianza y no confianza respectivamente. Asigne la interfaz lo0.0 a la zona de no confianza para conectarse a través de la red IP. Asigne la interfaz ge-0/0/2 a la zona ICL. Esta zona se utiliza para configurar la LCI. Asigne la interfaz de túnel seguro a la zona de seguridad VPN.

  4. Configure los detalles del nodo local y del nodo par, como el ID del nodo, las direcciones lP del nodo local y del nodo principal, y la interfaz para el nodo del mismo nivel.

    Utilizará la interfaz ge-0/0/2 para comunicarse con el nodo par mediante la ICL.

  5. Adjunte el perfil de VPN IPsec IPSEC_VPN_ICL al nodo par.

    Necesitará esta configuración para establecer un vínculo ICL seguro entre los nodos.

  6. Configure las opciones del protocolo de detección de reenvío bidireccional (BFD) para el nodo del mismo nivel.

  7. Configure los grupos de redundancia de servicios SRG1 y SRG2.

    En este paso, especificará el tipo de despliegue como enrutamiento porque está configurando la alta disponibilidad de varios nodos en una red de capa 3.
  8. Configure los parámetros de determinación de la actividad tanto SRG1 como SRG2.

    SRG1

    SRG2

    Utilice la dirección IP flotante como dirección IP de origen (10.11.0.1 para SRG1 y 10.12.0.1 para SRG2) y las direcciones IP de los enrutadores ascendentes como dirección IP de destino (10.111.0.1) para la sonda de determinación de actividad.

    Puede configurar hasta 64 direcciones IP para la supervisión de IP y el sondeo de actividad. El total de 64 direcciones IP es la suma del número de direcciones IPv4 e IPv6)

  9. Configure los parámetros de supervisión de BFD para SRG1 y SRG2 para detectar fallas en la red.

    SRG1

    SRG2

  10. Configure una ruta de señal activa necesaria para la aplicación de la actividad.

    SRG1

    SRG2

    Nota: Debe especificar la ruta de señal activa junto con la política route-exists en la instrucción policy-options. Cuando se configura la active-signal-route condición con if-route-exists, el módulo HA agrega esta ruta a la tabla de enrutamiento.
  11. Cree una lista de prefijos IP incluyendo la dirección local de la puerta de enlace IKE y asocie la lista de prefijos IP a SRG1 y SRG2:

    SRG1

    SRG2

    Esta configuración ancla un túnel VPN IPsec determinado a un dispositivo de seguridad determinado.

  12. Habilite el servicio VPN IPsec tanto en SRG1 como en SRG2.

  13. Configure las opciones de VPN IPSec para la ICL.

    1. Defina la configuración de Intercambio de claves por Internet (IKE). Una configuración de IKE define los algoritmos y las claves utilizadas para establecer una conexión segura.

      Para la función de alta disponibilidad de varios nodos, debe configurar la versión de IKE como v2-only

    2. Especifique el protocolo de propuesta IPsec y el algoritmo de cifrado. Especifique las opciones de IPsec para crear un túnel IPsec entre dos dispositivos participantes para proteger la comunicación VPN.

      Al especificar la ha-link-encryption opción, se cifra la ICL para proteger el flujo de tráfico de alta disponibilidad entre los nodos.

      Se debe mencionar el mismo nombre de VPN ICL_IPSEC_VPN en vpn_profile la set chassis high-availability peer-id <id> vpn-profile vpn_profile configuración.

  14. Configure la directiva de seguridad.

    En este ejemplo, hemos configurado una política para permitir todo el tráfico. Le recomendamos encarecidamente que cree políticas de seguridad de acuerdo con los requisitos de su red para permitir el tráfico permitido por la política de su organización y denegar el resto del tráfico. En este ejemplo, solo hemos usado la directiva predeterminada para el propósito de la demostración.

  15. Configure las opciones de enrutamiento.

  16. Configure las opciones de directiva.

    Configure la ruta de señal activa 10.39.1.1 (SRG1) y 10.49.1.1 (SRG2) con la condición de coincidencia de ruta (if-route-exists). La alta disponibilidad de varios nodos agrega esta ruta a la tabla de enrutamiento cuando el nodo se mueve al rol activo. El nodo también comienza a anunciar la ruta de preferencia más alta. Configure la ruta de señal de respaldo (10.39.1.2 y 10.49.1.2) para anunciar el nodo de respaldo con prioridad media. En caso de fallo, el enlace de alta disponibilidad deja de funcionar y el nodo activo actual libera su función principal y elimina la ruta de señal activa. Ahora, el nodo de copia de seguridad detecta la condición a través de sus sondeos y pasa al rol activo. La preferencia de ruta se intercambia para dirigir todo el tráfico al nuevo nodo activo

  17. Configure las opciones de las sesiones de emparejamiento BFD y especifique temporizadores de detección de vida.

Configuración de VPN IPsec (SRX-1 y SRX-2)

Siga estos pasos para configurar la conexión VPN IPsec con el firewall par de la serie SRX. En este ejemplo, colocará todas las instrucciones de configuración VPN IPsec dentro de un grupo de configuración JUNOS denominado vpn_config.

  1. Cree un grupo vpn_config de configuración en la parte superior de la configuración y configure los detalles específicos de VPN IPsec.
  2. Incluya la instrucción apply-groups en la configuración para heredar las instrucciones del grupo de configuración vpn_config,

Configuración (SRX-03) (dispositivo par VPN)

Procedimiento paso a paso

  1. Cree la propuesta de IKE.

  2. Definir políticas de IKE.

  3. Cree una puerta de enlace IKE, defina la dirección, especifique las interfaces externas y la versión.

  4. Crear propuestas IPsec.

  5. Crear directivas IPsec.

  6. Especifique las referencias de propuesta de IPsec (puerta de enlace IKE, política IPsec, interfaz para enlazar y selectores de tráfico).

  7. Cree una política de seguridad.

    En este ejemplo, hemos configurado una política para permitir todo el tráfico. Le recomendamos encarecidamente que cree políticas de seguridad de acuerdo con los requisitos de su red para permitir el tráfico permitido por la política de su organización y denegar el resto del tráfico. En este ejemplo, solo hemos usado la directiva predeterminada para el propósito de la demostración.

  8. Configure las interfaces.

  9. Defina zonas de seguridad y agregue interfaces.

  10. Configure las rutas estáticas.

Resultados (SRX-01)

Desde el modo de configuración, confirme su configuración introduciendo los siguientes comandos.

Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Resultados (SRX-02)

Desde el modo de configuración, confirme su configuración introduciendo los siguientes comandos. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

En los dispositivos de seguridad, recibirá el siguiente mensaje que le pedirá que reinicie el dispositivo:

Resultados (SRX-3) (dispositivo par VPN)

Desde el modo de configuración, confirme su configuración introduciendo los siguientes comandos. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Compruebe los detalles de alta disponibilidad de Multinode

Propósito

Vea y verifique los detalles de la configuración de alta disponibilidad multinodo configurada en su dispositivo de seguridad.

Acción

Desde el modo operativo, ejecute el siguiente comando:

En SRX-1

En SRX-2

Significado

Compruebe estos detalles desde el resultado del comando:

  • Detalles del nodo local y del nodo par, como la dirección IP y el ID.

  • El campo Encrypted: YES indica que el tráfico está protegido.

  • El campo Deployment Type: ROUTING indica una configuración de modo de capa 3, es decir, que la red tiene enrutadores en ambos lados.

  • El campo Services Redundancy Group: 1 e Services Redundancy Group: 2 indicar el estado de SRG1 y SRG2 (activo o de reserva) en ese nodo.

Compruebe los detalles de alta disponibilidad de Multinode

Propósito

Vea y verifique los detalles de la configuración de alta disponibilidad multinodo configurada en su dispositivo de seguridad.

Acción

Desde el modo operativo, ejecute el siguiente comando:

En SRX-01

Significado

Compruebe estos detalles desde el resultado del comando:

  • El campo Services: [ IPSEC ] indica la VPN IPSec asociada para cada SRG.

  • Los campos BFD Monitoring, Interface Monitoring, Split-brain Prevention Probe Info muestran detalles de supervisión.

  • Los campos Cold Synchronization, SRG State Change Events proporcionan detalles sobre el estado actual y los cambios recientes.

  • El campo Services Redundancy Group: 1 e Services Redundancy Group: 2 indicar el estado de SRG1 y SRG2 (activo o de reserva) en ese nodo.

En la salida del comando, Junos OS genera internamente las direcciones IP, como IP 180.100.1.2, y estas direcciones no interfieren con las tablas de enrutamiento.

Comprobar el estado del nodo del par de alta disponibilidad de varios nodos

Propósito

Vea y compruebe los detalles del nodo par.

Acción

Desde el modo operativo, ejecute el siguiente comando en SRX-01 y SRX-02:

SRX-01

SRX-02

Significado

Compruebe estos detalles desde el resultado del comando:

  • Detalles del nodo par, como la interfaz utilizada, la dirección IP y el ID

  • Estado de cifrado, estado de conexión y estado de sincronización en frío

  • Estadísticas de paquetes en todo el nodo.

Compruebe los grupos de redundancia del servicio de alta disponibilidad de varios nodos

Propósito

Compruebe que las SRG estén configuradas y funcionen correctamente.

Acción

Desde el modo operativo, ejecute el siguiente comando en ambos dispositivos de seguridad:

SRG1 en SRX-02

SRG2 en SRX-02

SRG1 en SRX-01

SRG2 en SRX-01

Significado

Compruebe estos detalles desde el resultado del comando:

  • Detalles del nodo par, como el tipo de implementación, el estado, las rutas de señal activas y de respaldo.

  • Sonda de prevención de cerebro dividido, monitoreo de IP y estado de monitoreo de BFD.

  • Tabla de prefijos IP asociada.

Confirmar el estado de la VPN

Propósito

Confirme el estado de VPN comprobando el estado de cualquier asociación de seguridad IKE en el nivel SRG.

Acción

Ejecute los siguientes comandos en SRX-1, SRX-2 y SRX-3 (dispositivo par VPN):

SRX-01

SRX-02

SRX-3 (dispositivo par VPN)

Significado

El resultado indica que:

  • Direcciones IP de los pares remotos.
  • El estado que muestra UP para ambos pares remotos indica la asociación exitosa del establecimiento de la fase 1.
  • La dirección IP del par remoto, la política de IKE y las interfaces externas son correctas.

Mostrar detalles de la asociación de seguridad IPsec

Propósito

Muestra los detalles individuales de SA de IPsec identificados por los ID de SRG.

Acción

Ejecute el siguiente comando en los firewalls de la serie SRX:

SRX-1

SRX-02

SRX-03

Significado

El resultado muestra el estado de la VPN.

Mostrar pares activos por SRG

Propósito

Muestra la lista de pares activos conectados con direcciones pares y puertos que están utilizando.

Acción

Ejecute los siguientes comandos en los firewalls de la serie SRX:

SRX-01

SRX-02

Significado

El resultado muestra la lista de dispositivos conectados con detalles sobre las direcciones del mismo nivel y los puertos utilizados.

Mostrar el prefijo IP a la asignación SRG

Propósito

Muestra el prefijo IP a la información de asignación SRG.

Acción

Ejecute el siguiente comando en el dispositivo SRX-01.

Significado

La salida muestra los prefijos de direcciones IP asignados a SRG en la configuración.

Muestra la información de la sesión BGP.

Propósito

Muestra información de resumen sobre BGP y sus vecinos para determinar si las rutas se reciben de los pares.

Acción

Ejecute los siguientes comandos en los firewalls de la serie SRX:

Dispositivo SRX-1

Dispositivo SRX-2

Significado

El resultado muestra que la sesión BGP está establecida y que los pares están intercambiando mensajes de actualización.