マルチノード高可用性における IPsec VPN サポート
アクティブバックアップモードのIPsec VPN
SRXシリーズファイアウォールは、マルチノード高可用性設定でIPsec VPNトンネルをサポートします。Junos OS リリース 22.4R1 以前は、IPsec VPN トンネルは SRG1 に固定され、SRG1 はステートフル アクティブ/バックアップ モードで動作します。このモードでは、すべてのVPNトンネルは、SRG1がアクティブな同じデバイスで終了します。
マルチノードの高可用性は、IPsecトンネルを確立し、次の方法で鍵交換を実行します。
-
ルーティング展開で、アクティブ SRG1 のフローティング IP アドレスを終端 IP に動的に関連付け、スイッチング モードで 2 つのデバイス間でフローティングする終端 IP、仮想 IP(VIP)を割り当てます。
-
SRG1 がアクティブなノードで、トンネル確立を認証するために動的 CA プロファイルが必要な場合に、CA プロファイルを生成します。
-
新しい認証を実行し、新しくアクティブになったノードに動的プロファイルをロードし、古いノードでクリアします。
showアクティブ・ノードとバックアップ・ノードの両方でコマンドを実行して、IKEおよびIPsecセキュリティ・アソシエーションの状況を表示することができますが、IKEおよびIPsecセキュリティ・アソシエーションを削除できるのはアクティブ・ノードだけです。
VPNサービスは、 コマンドを使用してアクティブ/バックアップモード set chassis high-availability services-redundancy-group 1 を有効にすると、自動的に有効になります。詳細については、設定例を参照してください。
PKI ファイルは、ICL のリンク暗号化を有効にした場合にのみピア ノードに同期されます。
セキュリティデバイスでマルチノード高可用性VPNを設定する場合は、以下のシーケンスをお勧めします。
-
バックアップノードで、セキュリティIKEゲートウェイ、IPsec VPN、インターフェイスst0.x、セキュリティゾーンを設定し、設定をコミットします。
-
アクティブノードで、セキュリティIKEゲートウェイ、IPsec VPN、st0.xインターフェイス、セキュリティゾーン、静的ルートを設定し、設定をコミットします。
commit synchronize オプションを使用しない場合、アクティブ ノードで設定をコミットする前に、バックアップ ノードで設定をコミットする必要があります。
バックアップノードでのパケット処理
マルチノード高可用性で オプションを使用すると process-packet-on-backup 、パケット転送エンジンはバックアップノード上のパケットを対応する SRG に転送します。この設定は、バックアップ ノードがアクティブ モードでない場合でも、バックアップ ノード上の VPN パケットを処理します。これにより、フェイルオーバー後にバックアップノードがアクティブロールに移行する際の遅延がなくなります。移行期間中もパケット処理は継続されます。
SRG1set chassis high-availability services-redundancy-group name process-packet-on-backupのバックアップでプロセスパケットを設定するには、[]ステートメントを使用します。
アクティブ-アクティブモードのIPsec VPN
Junos OS リリース 22.4R1 以降、IPsec VPN のマルチ SRG1(SRG1+)をサポートし、アクティブ/アクティブ モードで動作するようにマルチノード高可用性を設定できるようになりました。このモードでは、一部の SRG は 1 つのノードでアクティブなままになり、一部の SRG は別のノードでアクティブなままになります。特定の SRG は常にアクティブ/バックアップ モードで動作します。1つのノードではアクティブモードで動作し、別のノードではバックアップモードで動作します。
マルチノードの高可用性は、複数のSRG(SRG1+)を使用したアクティブ/アクティブ モードの IPsec VPN をサポートします。このモードでは、SRG のアクティブ性に基づいて、両方のノードから複数のアクティブ トンネルを確立できます。異なる SRG は異なるノードでアクティブになる可能性があるため、これらの SRG に属するトンネルは両方のノードで独立して立ち上がります。両方のノードでアクティブなトンネルを持つことで、両方のノードでデータトラフィックを暗号化/復号化できるため、帯域幅を効率的に使用できます。
図 1: そして 図2 アクティブバックアップとアクティブ-アクティブマルチノード高可用性IPsec VPNトンネルの違いを示します。
におけるアクティブバックアップIPsec VPNトンネル
におけるアクティブ-アクティブ IPsec VPN トンネル
マルチノードの高可用性は、IPsecトンネルを確立し、終端IPアドレス(このアドレスで終わるトンネルも識別する)をSRGに関連付けることで、鍵交換を実行します。各デバイスで異なる SRG1+ がアクティブ状態またはバックアップ状態になる可能性があるため、マルチノード高可用性は、一致するトラフィックを対応するアクティブな SRG1 に効果的に誘導します。マルチノードの高可用性では、SRG ID と IP プレフィックスのマッピング情報も維持されます。
表1と表2に、SRG1+の変更によるIPsec VPNトンネルへの影響の詳細を示します。
| SRG1 の変更 | によるIPSec VPN トンネルへの影響 |
|---|---|
| SRG の追加 | 既存のトンネルへの影響なし |
| SRG の削除 | SRG に関連付けられているすべてのルートを削除します。 |
| SRG属性(プレフィックスリスト以外)の変更 | 既存のトンネルへの影響なし |
| SRG IDの変更 | SRG に関連付けられている既存のトンネルをすべて削除します。 |
| プレフィックスリスト変更時のIPプレフィックス | 特定の IP プレフィックスにマッピングされているすべてのトンネルを削除します。 変更された IP プレフィックスへの既存のトンネル マッピングがない場合は、影響はありません。 |
| マルチノード高可用性からの | SRG 状態変更 | アクション
|---|---|
|
|
その SRG に対応するすべてのデータを削除し、新しいアクティブ SRG から再同期します。 |
|
|
その SRG に対応するすべてのデータを削除し、新しいアクティブ SRG から再同期します。 |
|
|
適用外 |
|
|
アクションなし |
|
|
アクションなし |
|
|
アクションなし |
|
|
アクションなし(状態遷移の可能性;アクティブ状態が事前または事後状態のいずれにも関与しない場合、アクションは必要ありません) |
|
|
アクションなし(状態遷移の可能性;アクティブ状態が事前または事後状態のいずれにも関与しない場合、アクションは必要ありません) |
|
|
アクションなし(状態遷移の可能性;アクティブ状態が事前または事後状態のいずれにも関与しない場合、アクションは必要ありません) |
IPsec VPNサービスをSRGに関連付ける
22.4R1より前のリリースはSRG0とSRG1のみをサポートし、SRG1はデフォルトでIPsec VPNに関連付けられていました。22.4R1では、SRGはデフォルトでIPSec VPNサービスに関連付けられていません。IPsec VPNサービスを複数のSRGのいずれかに関連付ける必要があります。
- IPsec をマネージド サービスとして指定する
元:
[set chassis high-availability services-redundancy-group <id> managed-services ipsec] - IP プレフィックスリストの作成
元:
[set chassis high-availability services-redundancy-group <id> prefix-list <name>][set policy-options prefix-list <name> <IP address>
マルチノード高可用性設定に複数の SRG がある場合、一部の SRG は 1 つのノードでアクティブ状態になり、一部の SRG は別のノードでアクティブになります。IP プレフィックス リストを構成することで、特定の IPsec トンネルを特定のノード(SRX シリーズ ファイアウォール)に固定できます。
IPsec VPN構成では、IKEゲートウェイが2つのセキュリティデバイス間のネットワーク接続を開始および終了します。ローカルエンド(ローカルIKEゲートウェイ)は、IKEネゴシエーションを開始するSRXシリーズインターフェイスです。ローカル IKE ゲートウェイには、ローカル IP アドレス (ファイアウォール上でパブリックにルーティング可能な IP アドレス) があり、VPN 接続がエンドポイントとして使用します。
IP プレフィックス リストには、IKE ゲートウェイのローカル アドレスとして使用される IPv4 または IPv6 アドレス プレフィックスのリストが含まれます。これらのIPプレフィックス(prefix-list)を指定されたSRG1に関連付けて、SRGの状態に応じて、IKEゲートウェイのローカルアドレスをより高い優先度でアドバタイズできます。
特定のIPsec VPNトンネルを特定のセキュリティデバイスに固定するには、以下を実行する必要があります。
-
IKEゲートウェイのローカルアドレスを含めてIPプレフィックスリストを作成し、IPプレフィックスリストをSRGに関連付けます。
例:
set chassis high-availability services-redundancy-group 1 prefix-list lo0_1 set chassis high-availability services-redundancy-group 2 prefix-list lo0_2 set policy-options prefix-list lo0_1 10.11.0.1/32 set policy-options prefix-list lo0_2 10.11.1.1/32 set interfaces lo0 description untrust set interfaces lo0 unit 0 family inet address 10.11.0.1/32 set interfaces lo0 unit 0 family inet address 10.11.1.1/32
- プレフィックスリストのルーティングインスタンスを定義します。
set chassis high-availability services-redundancy-group 1 prefix-list lo0 routing-instance rt-vr set chassis high-availability services-redundancy-group 1 prefix-list lo0 routing-instance rt-vr
プレフィックスリストにルーティングインスタンスを関連付けない場合、マルチノード高可用性はデフォルトのルーティングテーブルを使用するため、VPN機能に影響を与える可能性があります。
-
IPsec VPNをSRGに関連付けて有効にします。
例:
set chassis high-availability services-redundancy-group 1 managed-services ipsec set chassis high-availability services-redundancy-group 2 managed-services ipsec
この構成により、マルチノード高可用性設定のSRXシリーズファイアウォールで設定された複数のSRGのいずれかにIPsec VPNを選択的かつ柔軟に関連付けることができます。
次のコマンドを使用して、IKE/IPsec オブジェクトの SRG へのマッピングを確認できます。
user@host# show chassis high-availability information detail
.........
Services Redundancy Group: 1
Deployment Type: SWITCHING
Status: BACKUP
Activeness Priority: 200
Hold Timer: 1
Services: [ IPSEC ]
Process Packet In Backup State: NO
Control Plane State: NOT READY
System Integrity Check: COMPLETE
Peer Information:
Failure Events: NONE
Peer Id: 2
Last Advertised HA Status: ACTIVE
Last Advertised Health Status: HEALTHY
Failover Readiness: N/A
.............
次のコマンドを使用して、SRG と IP プレフィックス リストのマッピングを確認できます。
user@host> show chassis high-availability prefix-srgid-table
IP SRGID Table:
SRGID IP Prefix Routing Table
1 10.11.0.1/32 rt-vr
1 10.19.0.1/32 rt-vr
1 10.20.0.1/32 rt-vr
2 10.11.1.1/32 rt-vr
2 10.19.1.1/32 rt-vr
2 10.20.1.1/32 rt-vr
プレフィックス リストを構成しない場合、次の警告メッセージが表示されます。
user@host> show chassis high-availability prefix-srgid-table
Warning: prefix list not configured
詳細については、 例:レイヤ 3 ネットワークでのアクティブ/アクティブ マルチノード高可用性における IPSec VPN の設定を参照してください。
IPsec VPNの動的ルーティングプロトコルのサポート
Junos OS Release 23.2R1以降、ノードローカルトンネルを使用して、マルチノード高可用性設定でIPsec VPNの動的ルーティングプロトコルを有効にすることができます。動的ルーティング プロトコルが追加するルートは、ノードに対してローカルなままです。これらのルートは、SRG(サービス冗長性グループ)にはバインドされません。
以前のリリースでは、マルチノードの高可用性はトラフィックセレクターの展開のみをサポートしていました。つまり、トラフィックセレクターを使用してIPsec VPNを設定すると、トラフィックセレクターのプレフィックスに基づいて、優先値とルーティングメトリックを考慮してルートがインストールされます。
ノードローカル トンネルを設定する場合、VPN ピア デバイスからマルチノード高可用性セットアップの両方のノードに個別のトンネルがあります。つまり、2つのマルチノード高可用性ノードそれぞれに1つのノードローカルトンネルがあります。
図 3、図 4、図 5 は、同期トンネル、ノードローカル トンネル、同期トンネルとノードローカル トンネルを組み合わせたマルチノード高可用性 IPsec VPN の導入を示しています。
を使用したマルチノード高可用性の導入
上の図は、ピア デバイスとマルチノード高可用性セットアップ間の IPsec VPN トンネルを示しています。IPsec VPN トンネルは、アクティブな SRG1+ に固定されます。関連するSRG1+がアクティブになっている間、トンネルはアクティブなままになります。この展開では、トラフィックはアクティブなトンネル(トンネル 1)を通過します。
を使用したマルチノード高可用性の導入
上記の図では、VPN ピアデバイスとマルチノード高可用性セットアップの間に 2 つのノードローカルトンネルがあります。各トンネルは、セットアップ内の 2 つのノードのいずれかに接続します。これらのトンネルは、SRG1+ には関連付けられていません。一方または両方のトンネルは、いつでもアクティブな状態を維持できます。設定されたルーティング プロトコルに基づいて、トラフィックはいつでもトンネル 2 またはトンネル 3 を通過します。
を組み合わせたマルチノードの高可用性導入
上の図は、VPN ピア デバイスとマルチノード高可用性セットアップ間の IPsec VPN トンネルを示しています。さらに、この図は、VPN ピアデバイスとマルチノード高可用性セットアップの間にある 2 つのノードローカル トンネルを示しています。
IPsec VPNトンネルは、アクティブなSRG1+に固定され、アソシエイトSRG1+がアクティブなときもアクティブなままになります。ノードローカル トンネルの場合、両方のトンネルはアクティブなままです。
表 3 に、トンネルと同期トンネルの違い node-local を示します。
| 機能 | ノードローカル | トンネル同期トンネル |
|---|---|---|
| SRG1+との関連 | いいえ | はい |
| マルチノード高可用性ノード間のトンネル情報の同期 | いいえ | はい |
| アクティブなトンネルの数 | 2 つ | 1 つ |
IPsec VPNトンネルをノードローカルトンネルとしてマークする
以下のステートメントを使用して、SRXシリーズファイアウォール上の ように node-local IPsec VPNトンネルを設定できます。
[edit] user@host# set security ike gateway gateway-name node-local
マルチノード高可用性セットアップの両方のノードに対して オプションを設定 node-local してください。
ルーティングポリシーを設定する際には、必ず1つのトンネルを優先するように設定してください。