Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

了解组 VPNv2 服务器群集的配置更改

 

组 VPNv2 在 SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200 和 SRX4600 设备以及 vSRX 实例上受支持。当存在导致新加密密钥和安全关联(Sa)更改的配置更改时,组 VPNv2 服务器群集的行为与独立组 VPNv2 服务器不同。根服务器通过cluster-update消息向子服务器发送 SA 更新或删除。然后,子服务器会向groupkey-push成员发送消息。如果不先从根服务器接收删除消息,子服务器将无法向组成员发送删除消息。

注意

必须先在根服务器上或子服务器上进行所有配置更改,以确保组成员按预期接收更新或删除。除非在组 VPNv2 服务器群集中的服务器之间同步配置,否则流量会丢失。

表 1介绍了组 VPNv2 服务器上各种配置更改的影响。

表 1: 配置更改对组 VPNv2 服务器的影响

配置更改

独立组 VPNv2 服务器操作

Group VPNv2 Server 群集操作

根服务器

子服务器

更改 IKE 建议、策略或网关

删除受影响网关的 IKE SA。对于 IKE 建议、策略或网关删除,删除受影响网关的注册成员。

更改 IPsec 建议

更改会在流量加密密钥(TEK) rekey 后生效。

组更改:

删除组名称

向“组成员”发送全部删除。删除该组中的所有 IKE Sa。立即删除该组中的所有密钥。删除该组中的所有注册成员。

对“子服务器”全部发送全部删除。立即删除该组中的所有密钥。将所有对等方标记为非活动。删除子服务器 IKE Sa。删除所有成员 IKE Sa。

删除所有成员 IKE Sa。立即删除该组中的所有密钥。删除该组中的所有注册成员。标记对等非活动状态。删除对等服务器 IKE Sa。

变更 ID

对“所有成员”全部发送全部删除。删除该组中的所有 IKE Sa。立即删除该组中的所有密钥。删除该组中的所有注册成员。根据配置生成新密钥。

对”子服务器”全部发送全部删除。删除该组中的所有成员 IKE Sa。立即删除该组中的所有密钥。将所有对等方标记为非活动。删除所有对等服务器 IKE Sa。根据配置生成新密钥。

删除该组中的所有成员 IKE Sa。立即删除该组中的所有密钥。删除该组中的所有注册成员。标记对等非活动状态。删除对等服务器 IKE Sa。发起新cluster-init的交换。

添加或删除 IKE 网关

无需添加变更。对于删除,删除受影响网关的 IKE SA 和注册成员。

添加或更改防重播时间窗口

新值在 TEK rekey 后生效。

添加或更改无抗重播

新值在 TEK rekey 后生效。

服务器成员通信更改:

删除所有注册成员。生成密钥加密密钥(KEK) SA。

生成 KEK SA。向子服务器发送新的 KEK SA。删除所有成员 IKE Sa。

删除所有注册成员。

改动

新值在 KEK rekey 后生效。

删除

发送 delete 以删除所有 KEK Sa。删除 KEK SA。

将删除发送至子服务器。删除 KEK SA。删除所有成员 IKE Sa。

删除 KEK SA。

IPsec SA:

生成新的 TEK SA。更新成员上的新 TEK SA。

生成新的 TEK SA。向子服务器发送新的 TEK SA。

无操作。

改动

新值在 TEK rekey 后生效。

如果匹配策略发生变化,则会立即卸下当前 TEK,并会删除 groupkey,因为成员需要明确通知此配置已被删除。

如果匹配策略发生变化,请将 delete 发送至子服务器。立即删除 TEK。

如果匹配策略发生变化,请立即删除 TEK。

删除

立即删除 TEK。发送删除以删除此 TEK SA。

将删除发送至子服务器。立即删除 TEK。

立即删除 TEK。

表 2介绍更改组 VPNv2 服务器群集配置的影响。

注意

您必须确保在任何时候服务器集群中都只有一个根服务器。

表 2: 组 VPNv2 服务器群集配置更改的影响

服务器群集配置更改

Group VPNv2 Server 群集

根服务器

子服务器

IKE 建议、策略或网关(群集对等方)

对于新增功能,没有变化。对于变更或删除,请删除受影响的对等方的 IKE SA。

服务器群集:

无。

向“组成员”发送全部删除。删除该组中的所有成员 IKE Sa。立即删除该组中的所有 TEKs 和 KEKs。删除该组中的所有注册成员。发送cluster-init至 root 服务器。

更改角色

注意: 您必须确保在任何时候服务器集群中都只有一个根服务器。

对“子服务器”全部发送全部删除。删除该组中的所有成员 IKE Sa。立即删除该组中的所有 TEKs 和 KEKs。将所有对等方标记为非活动。删除所有对等服务器 IKE Sa。发送cluster-init至 root 服务器。

Rekey TEK。Rekey KEK。向子服务器发送新密钥。向成员发送新密钥。

添加对等

无。

删除对等方

标记对等非活动状态。清除对等方 IKE SA。

标记对等非活动状态。清除 KEK。清除 TEK。清除对等方 IKE SA。

更改重新传输周期

无。

删除服务器群集

对“子服务器”全部发送全部删除。立即删除该组中的所有 TEKs 和 KEKs。将所有对等方标记为非活动。删除所有对等服务器 IKE Sa。根据配置生成新 TEKs 和 KEKs。

删除该组中的所有成员 IKE Sa。立即删除该组中的所有 TEKs 和 KEKs。删除该组中的所有注册成员。标记对等非活动状态。删除对等服务器 IKE Sa。根据配置生成新 TEK 和 KEK。