Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Clústeres de servidores VPNv2 de grupo

El clúster de servidores VPNv2 de grupo proporciona redundancia de controlador de grupo/servidor de claves (GCKS), por lo que no hay un único punto de error para toda la red VPN del grupo.

Descripción de los clústeres de servidores VPNv2 de grupo

En el protocolo de dominio de interpretación de grupo (GDOI), el controlador de grupo/servidor de claves (GCKS) administra asociaciones de seguridad (SA) de VPN de grupo, genera claves de cifrado y las distribuye a los miembros del grupo. Los miembros del grupo cifran el tráfico en función de las SA de grupo y las claves proporcionadas por GCKS. Si se produce un error en GCKS, los miembros del grupo no podrán registrarse ni obtener claves. Un clúster de servidores VPN v2 de grupo proporciona redundancia de GCKS, por lo que no hay un único punto de error para toda la red VPN del grupo. Los clústeres de servidores VPNv2 de grupo también pueden proporcionar equilibrio de carga, escalado y redundancia de vínculos.

La VPNv2 de grupo es compatible con dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600, así como en instancias de firewall virtual vSRX. Todos los servidores de un clúster de servidores VPN v2 de grupo deben ser compatibles con los firewalls de la serie SRX o las instancias del firewall virtual vSRX. Los clústeres de servidores VPNv2 de grupo son una solución propiedad de Juniper Networks y no tienen interoperabilidad con los GCK de otros proveedores.

Servidor raíz y subservidores

Un clúster de servidores VPN v2 de grupo consta de un servidor raíz con hasta cuatro subservidores conectados. Todos los servidores del clúster comparten la misma SA y las mismas claves de cifrado que se distribuyen a los miembros del grupo VPNv2. Los servidores del clúster pueden estar ubicados en sitios diferentes, como se muestra en Figura 1.

Figura 1: Clúster de servidores VPNv2 de grupoClúster de servidores VPNv2 de grupo

Las SA de IKE cifran y autentican los mensajes entre servidores del clúster. El servidor raíz es responsable de generar y distribuir claves de cifrado a los subservidores; Debido a esta responsabilidad, se recomienda configurar el servidor raíz como un clúster de chasis. Los subservidores son dispositivos únicos y no pueden ser clústeres de chasis. Los subservidores deben poder conectarse al servidor raíz, aunque no son necesarios enlaces directos entre los subservidores.

Si un subservidor pierde la conexión con el servidor raíz, no se permite ninguna otra conexión con el subservidor por parte de los miembros del grupo y se eliminan las SA. Por lo tanto, le recomendamos que utilice un vínculo diferente para conectar cada subservidor al servidor raíz.

Los clústeres de servidores VPNv2 de grupo se configuran con las server-cluster instrucciones en el nivel de jerarquía [edit security group-vpn server group-name]. Se deben configurar los siguientes valores para cada servidor de un clúster:

  • La función de servidor: especifique o root-serversub-server. Un servidor determinado puede formar parte de varios clústeres de servidores VPN de grupo, pero debe tener la misma función de servidor en todos los clústeres. No se puede configurar un servidor con la función de servidor raíz en un grupo y la función de subservidor en otro grupo.

    Debe asegurarse de que solo haya un servidor raíz en todo momento para un clúster de servidores VPN v2 de grupo.

  • Puerta de enlace IKE: especifique el nombre de una puerta de enlace IKE configurada en el nivel jerárquico [edit security group-vpn server ike]. Para un servidor raíz, la puerta de enlace IKE debe ser un subservidor en el clúster; Se pueden especificar hasta cuatro subservidores. Para los subservidores, la puerta de enlace IKE debe ser el servidor raíz.

    El servidor raíz y los subservidores deben configurarse con dead-peer-detection always-send una dirección IP dinámica (no especificada) y no pueden configurarse para ella. Los miembros del grupo no están configurados con la detección de pares inactivos.

La configuración del grupo VPNv2 debe ser la misma en cada subservidor de un grupo determinado.

Cada subservidor del clúster de servidores VPN v2 de grupo funciona como un GCKS normal para registrar y eliminar miembros. Tras el registro exitoso del miembro, el servidor de registro es responsable de enviar actualizaciones al miembro. Para un grupo determinado, puede configurar el número máximo de miembros VPN de grupo v2 que puede aceptar cada subservidor; Este número debe ser el mismo en todos los subservidores del clúster. Un subservidor deja de responder a las solicitudes de registro de nuevos miembros cuando alcanza el número máximo configurado de miembros de VPN de grupo. Consulte Equilibrio de carga.

Registro de miembros del grupo en clústeres de servidores

Los miembros del grupo pueden registrarse en cualquier servidor del clúster de servidores VPN v2 de grupo para un grupo determinado, sin embargo, recomendamos que los miembros solo se conecten a subservidores y no al servidor raíz. Se pueden configurar hasta cuatro direcciones de servidor en cada miembro del grupo. Las direcciones de servidor configuradas en los miembros del grupo pueden ser diferentes. En el ejemplo que se muestra a continuación, el miembro del grupo A está configurado para los subservidores del 1 al 4, mientras que el miembro B está configurado para los subservidores 4 y 3:

Miembro del grupo A:

Miembro del grupo B:

Direcciones de servidor:

Subservidor 1

Subservidor 2

Subservidor 3

Subservidor 4

Subservidor 4

Subservidor 3

El orden en que las direcciones del servidor están configuradas en un miembro es importante. Un miembro del grupo intenta registrarse con el primer servidor configurado. Si el registro con un servidor configurado no se realiza correctamente, el miembro del grupo intenta registrarse con el siguiente servidor configurado.

Cada servidor de un clúster de servidores VPN v2 de grupo funciona como un GCKS normal para registrar y eliminar miembros. Tras el registro exitoso, el servidor de registro es responsable de enviar actualizaciones al miembro a través de groupkey-push intercambios. Para un grupo determinado, puede configurar el número máximo de miembros del grupo que puede aceptar cada servidor, sin embargo, este número debe ser el mismo en todos los servidores del clúster para un grupo determinado. Al alcanzar el número máximo configurado de miembros del grupo, un servidor deja de responder a las solicitudes de registro de los nuevos miembros. Consulte Equilibrio de carga para obtener información adicional.

Detección de pares muertos

Para comprobar la disponibilidad de servidores del mismo nivel en un clúster de servidores VPNv2 de grupo, cada servidor del clúster debe estar configurado para enviar solicitudes de detección de pares inactivos (DPD), independientemente de si hay tráfico IPsec saliente al par. Esto se configura con la dead-peer-detection always-send instrucción en el nivel de jerarquía [edit security group-vpn server ike gateway gateway-name].

Un servidor activo en un clúster de servidores VPN v2 de grupo envía sondeos DPD a las puertas de enlace IKE configuradas en el clúster de servidores. DPD no debe configurarse para un grupo porque varios grupos pueden compartir la misma configuración de puerta de enlace IKE del servidor par. Cuando DPD detecta que un servidor está inactivo, se elimina la SA de IKE con ese servidor. Todos los grupos marcan el servidor como inactivo y se detiene DPD en el servidor.

DPD no debe configurarse para la puerta de enlace de IKE en los miembros del grupo.

Cuando DPD marca el servidor raíz como inactivo, los subservidores dejan de responder a las solicitudes de los nuevos miembros del grupo, sin embargo, las SA existentes para los miembros actuales del grupo permanecen activas. Un subservidor inactivo no envía eliminaciones a los miembros del grupo, ya que las SA podrían seguir siendo válidas y los miembros del grupo pueden seguir utilizando las SA existentes.

Si una SA de IKE caduca mientras un servidor del mismo nivel aún está activo, DPD desencadena la negociación de SA de IKE. Dado que tanto los servidores raíz como los subservidores pueden activar SA de IKE a través de DPD, la negociación simultánea puede dar lugar a varias SA de IKE. En este caso, no se espera ningún impacto en la funcionalidad del clúster de servidores.

Equilibrio de carga

El equilibrio de carga en el clúster de servidores VPN v2 de grupo se puede lograr configurando el valor correcto member-threshold para el grupo. Cuando el número de miembros registrados en un servidor supera el valor, se rechaza el member-threshold registro de miembro posterior en ese servidor. El registro de miembro conmuta por error al siguiente servidor configurado en el miembro del grupo hasta que llegue a un servidor al que member-threshold aún no se ha llegado.

Existen dos restricciones en la configuración:member-threshold

  • Para un grupo determinado, se debe configurar el mismo member-threshold valor en el servidor raíz y en todos los subservidores de un clúster de servidores de grupo. Si el número total de miembros del grupo supera el valor configurado member-threshold , se rechaza un groupkey-pull registro iniciado por un nuevo miembro (el servidor no envía una respuesta).

  • Un servidor puede admitir miembros de varios grupos. Cada servidor tiene un número máximo de miembros del grupo que puede admitir. Si un servidor alcanza el número máximo de miembros que puede admitir, se rechaza un groupkey-pull registro iniciado por un nuevo miembro, incluso si no se ha alcanzado el member-threshold valor de un grupo específico.

No hay sincronización de miembros entre los servidores del clúster. El servidor raíz no tiene información sobre el número de miembros registrados en los subservidores. Cada subservidor solo puede mostrar sus propios miembros registrados.

Descripción de las limitaciones del clúster de servidores VPN v2 de grupo

La VPNv2 de grupo es compatible con dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600, así como en instancias de firewall virtual vSRX. Tenga en cuenta las siguientes advertencias al configurar clústeres de servidores VPN de grupo:

  • La autenticación de certificados no se admite para la autenticación del servidor; Solo se pueden configurar claves previamente compartidas.

  • No hay sincronización de configuración entre los servidores del clúster de servidores VPN v2 de grupo.

  • Al habilitar un clúster de servidores VPN v2 de grupo, la configuración debe realizarse primero en el servidor raíz y, a continuación, en los subservidores. Hasta que la configuración se sincronice manualmente entre los servidores, se puede esperar una pérdida de tráfico durante el cambio de configuración.

  • En algunos casos excepcionales, las SA de los miembros de VPN de grupo v2 pueden no estar sincronizadas. Los miembros de VPN de grupo pueden sincronizar SA obteniendo una nueva clave a través de un groupkey-pull intercambio. Puede borrar manualmente las SA en un miembro de VPN de grupo con los comandos o clear security group-vpn member group para ayudar a acelerar la clear security group-vpn member ipsec security-associations recuperación.

  • El clúster de servidores VPN v2 de grupo no admite ISSU.

  • Si se pierde el último groupkey-pull mensaje durante el registro de un miembro de VPN de grupo, un servidor podría considerar que el miembro es un miembro registrado aunque el miembro pueda conmutar por error al siguiente servidor del clúster de servidores. En este caso, puede parecer que el mismo miembro está registrado en varios servidores. Si el umbral de miembro total en todos los servidores es igual al número total de miembros implementados, es posible que los miembros del grupo posteriores no se registren.

Tenga en cuenta las siguientes advertencias para las operaciones de clúster de chasis en el servidor raíz:

  • No se conservan estadísticas.

  • No se guardan datos de negociación ni estado. Si se produce una conmutación por error de clúster de chasis de servidor raíz durante una groupkey-pull negociación de o groupkey-push , la negociación no se reinicia después de la conmutación por error.

  • Si ambos nodos del clúster de chasis de un servidor raíz dejan de funcionar durante la reclave de una clave de cifrado, es posible que algunos miembros del grupo VPNv2 reciban la nueva clave, mientras que otros no. El tráfico puede verse afectado. Borrar manualmente las SA en un miembro de VPN de grupo con los comandos o clear security group-vpn member group puede ayudar a acelerar la clear security group-vpn member ipsec security-associations recuperación cuando se puede acceder al servidor raíz.

  • En un entorno a gran escala, la conmutación por error de RG0 en el servidor raíz puede tardar tiempo. Si el intervalo DPD y el umbral en un subservidor están configurados con valores pequeños, puede dar como resultado que el subservidor marque el servidor raíz como inactivo durante una conmutación por error RG0. El tráfico puede verse afectado. Se recomienda configurar la puerta de enlace de IKE para el subservidor con un valor DPD interval * threshold superior a 150 segundos.

Descripción de los mensajes de grupo del clúster de servidores VPNv2

La VPNv2 de grupo es compatible con dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600, así como en instancias de firewall virtual vSRX. Todos los mensajes entre servidores de un clúster de servidores VPN v2 de grupo se cifran y autentican mediante una asociación de seguridad (SA) de IKE. Cada subservidor inicia una SA de IKE con el servidor raíz; esta SA de IKE debe establecerse antes de que se puedan intercambiar mensajes entre los servidores.

En esta sección se describen los mensajes intercambiados entre el servidor raíz y los subservidores.

Intercambios de clústeres

Figura 2 muestra los mensajes básicos intercambiados entre el clúster de servidores VPN de grupo y los miembros de VPNv2 de grupo.

Figura 2: Mensajes de grupo del clúster de servidores VPNv2Mensajes de grupo del clúster de servidores VPNv2

Intercambios Cluster-Init

Un subservidor inicia un intercambio de inicialización del clúster (cluster-init) con el servidor raíz para obtener SA e información de clave de cifrado. El servidor raíz responde enviando información SA actual al subservidor a través del cluster-init intercambio.

Los subservidores pueden responder a las solicitudes de registro de los miembros del grupo VPNv2 a través de un groupkey-pull intercambio. El groupkey-pull intercambio permite a un miembro de VPN de grupo solicitar SA y claves compartidas por el grupo desde un subservidor.

Los subservidores inician un cluster-init intercambio con el servidor raíz cuando:

  • El servidor raíz se considera inactivo. Este es el estado inicial asumido del servidor raíz. Si no hay ninguna SA de IKE entre el servidor raíz y el subservidor, el subservidor inicia una SA de IKE con el servidor raíz. Después de un intercambio exitoso cluster-init , el subservidor obtiene información sobre las SA y marca el servidor raíz como activo.

  • La vida útil suave de la SA ha expirado.

  • Se recibe un cluster-update mensaje para eliminar todas las SA.

  • Hay cambios en la configuración de grupo.

Si se produce un error en el cluster-init intercambio, el subservidor vuelve a intentarlo con el servidor raíz cada 5 segundos.

Mensajes de actualización de clústeres

El groupkey-push intercambio es un mensaje de reclave única que permite a un controlador de grupo/servidor de claves (GCKS) enviar SA de grupo y claves a los miembros antes de que expiren las SA de grupo existentes y actualizar la pertenencia a grupos. Los mensajes de reclave son mensajes no solicitados enviados desde GCKS a los miembros

Al generar nuevas claves de cifrado para una SA, el servidor raíz envía actualizaciones de SA a todos los subservidores activos a través de un cluster-update mensaje. Después de recibir un del cluster-update servidor raíz, el subservidor instala la nueva SA y envía la nueva información de SA a través de a groupkey-push los miembros registrados del grupo.

Un cluster-update mensaje enviado desde el servidor raíz requiere una confirmación del subservidor. Si no se recibe confirmación de un subservidor, el servidor raíz retransmite el cluster-update en el período de retransmisión configurado (el valor predeterminado es 10 segundos). El servidor raíz no retransmite si la detección de pares muertos (DPD) indica que el subservidor no está disponible. Si un subservidor no actualiza la información de SA después de recibir un cluster-update, no envía una confirmación y el servidor raíz retransmite el cluster-update mensaje.

Si la duración suave de una SA expira antes de que se reciba una nueva SA del servidor raíz, el subservidor envía un cluster-init mensaje al servidor raíz para obtener todas las SA y no envía un groupkey-push mensaje a sus miembros hasta que tenga una nueva actualización. Si la duración dura de una SA expira en el subservidor antes de recibir una nueva SA, el subservidor marca el servidor raíz como inactivo, elimina todos los miembros registrados del grupo y continúa enviando cluster-init mensajes al servidor raíz.

Se puede enviar un cluster-update mensaje para eliminar una SA o un miembro del grupo; esto puede ser el resultado de un clear comando o un cambio de configuración. Si un subservidor recibe un cluster-update mensaje para eliminar una SA, envía un groupkey-push mensaje de eliminación a los miembros de su grupo y elimina la SA correspondiente. Si se eliminan todas las SA de un grupo, el subservidor inicia un cluster-init intercambio con el servidor raíz. Si se eliminan todos los miembros registrados, el subservidor elimina todos los miembros registrados localmente.

Descripción de los cambios de configuración con clústeres de servidores VPNv2 de grupo

La VPNv2 de grupo es compatible con dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600, así como en instancias de firewall virtual vSRX. Los clústeres de servidores VPN v2 de grupo se comportan de manera diferente a los servidores VPN de grupo independientes cuando hay cambios en la configuración que dan lugar a nuevas claves de cifrado y cambios en las asociaciones de seguridad (SA). El servidor raíz envía actualizaciones o eliminaciones de SA a los subservidores a través cluster-update de mensajes. Luego, los subservidores envían groupkey-push mensajes a los miembros. Los subservidores no pueden enviar mensajes de eliminación a los miembros del grupo sin recibir primero mensajes de eliminación del servidor raíz.

Todos los cambios de configuración deben realizarse primero en el servidor raíz y luego en los subservidores para garantizar que los miembros del grupo reciban actualizaciones o eliminaciones como se esperaba. Hasta que la configuración se sincronice entre los servidores del clúster de servidores VPN v2 de grupo, se puede esperar una pérdida de tráfico.

Tabla 1 describe los efectos de varios cambios de configuración en los servidores VPN de grupo-v2.

Tabla 1: Efectos de los cambios de configuración en servidores VPN de grupo

Cambio de configuración

Acción del servidor VPNv2 de grupo independiente

Acción de clúster de servidor VPNv2 de grupo

Servidor raíz

Subservidor

Cambiar la propuesta, la política o la puerta de enlace de IKE

Elimine la SA de IKE para la puerta de enlace afectada. En el caso de eliminaciones de propuestas, políticas o puertas de enlace de IKE, elimine los miembros registrados de la puerta de enlace afectada.

Cambiar propuesta de IPsec

Los cambios surten efecto después de cambiar la clave de cifrado de tráfico (TEK).

Cambios de grupo:

Eliminar nombre de grupo

Enviar "eliminar todo" a los miembros del grupo. Elimine todas las SA de IKE del grupo. Elimine todas las claves del grupo inmediatamente. Elimine todos los miembros registrados del grupo.

Envíe "eliminar todo" a los subservidores. Elimine todas las claves del grupo inmediatamente. Marcar todos los pares como inactivos. Elimine las SA de IKE del subservidor. Elimine todas las SA de IKE miembros.

Elimine todas las SA de IKE miembros. Elimine todas las claves del grupo inmediatamente. Elimine todos los miembros registrados del grupo. Marcar par inactivo. Elimine las SA de IKE del servidor par.

Cambiar ID

Envíe "eliminar todo" a todos los miembros. Elimine todas las SA de IKE del grupo. Elimine todas las claves del grupo inmediatamente. Elimine todos los miembros registrados del grupo. Generar nuevas claves según la configuración.

Envíe "eliminar todo" a los subservidores. Elimine todas las SA de IKE miembros del grupo. Elimine todas las claves del grupo inmediatamente. Marcar todos los pares como inactivos. Elimine todas las SA de IKE del servidor par. Generar nuevas claves según la configuración.

Elimine todas las SA de IKE miembros del grupo. Elimine todas las claves del grupo inmediatamente. Elimine todos los miembros registrados del grupo. Marcar par inactivo. Elimine las SA de IKE del servidor par. Iniciar un nuevo cluster-init intercambio.

Agregar o eliminar puerta de enlace IKE

No hay cambios para adiciones. En el caso de eliminaciones, elimine la SA de IKE y los miembros registrados de la puerta de enlace afectada.

Agregar o cambiar la ventana de tiempo de anti-reproducción

El nuevo valor surte efecto después de la reclave TEK.

Agregar o cambiar sin anti-reproducción

El nuevo valor surte efecto después de la reclave TEK.

Cambios en la comunicación entre los miembros del servidor:

Agregar

Eliminar todos los miembros registrados. Generar clave de cifrado de clave (KEK) SA.

Generar KEK SA. Envíe la nueva SA de KEK al subservidor. Elimine todas las SA de IKE miembros.

Eliminar todos los miembros registrados.

Cambio

El nuevo valor entra en vigor después de la reclave de KEK.

Borrar

Enviar eliminación para eliminar todas las SA de KEK. Elimine KEK SA.

Enviar eliminación a los subservidores. Elimine KEK SA. Elimine todas las SA de IKE miembros.

Elimine KEK SA.

SA IPsec:

Agregar

Genere una nueva SA TEK. Actualice el nuevo TEK SA en los miembros.

Genere una nueva SA TEK. Enviar nueva SA de TEK a los subservidores.

No hay acción.

Cambio

El nuevo valor surte efecto después de la reclave de TEK.

Si la política de coincidencia cambia, el TEK actual se elimina inmediatamente y se envía deletegroupkey-push, ya que es necesario notificar explícitamente a los miembros que se ha eliminado esta configuración.

Si la política de coincidencias cambia, envíe delete a los subservidores. Elimine TEK inmediatamente.

Si la política de coincidencias cambia, elimine TEK inmediatamente.

Borrar

Elimine TEK inmediatamente. Enviar eliminar para eliminar esta SA de TEK.

Enviar eliminación a los subservidores. Elimine TEK inmediatamente.

Elimine TEK inmediatamente.

Tabla 2 describe los efectos de cambiar la configuración del clúster de servidores VPN de grupo.

Debe asegurarse de que solo haya un servidor raíz en un clúster de servidores en todo momento.

Tabla 2: Efectos de los cambios en la configuración del clúster del servidor VPN v2 de grupo

Cambio en la configuración del clúster del servidor

Clúster de servidores VPNv2 de grupo

Servidor raíz

Subservidor

Propuesta, política o puerta de enlace de IKE (par de clúster)

Para adiciones, no hay cambios. Para cambios o eliminaciones, elimine la SA de IKE para el par afectado.

Clúster de servidores:

Agregar

Ninguno.

Enviar "eliminar todo" a los miembros del grupo. Elimine todas las SA de IKE miembros del grupo. Elimine todos los TEK y KEK inmediatamente del grupo. Elimine todos los miembros registrados del grupo. Enviar cluster-init al servidor raíz.

Cambiar rol

Debe asegurarse de que solo haya un servidor raíz en un clúster de servidores en todo momento.

Envíe "eliminar todo" a los subservidores. Elimine todas las SA de IKE miembros del grupo. Elimine todos los TEK y KEK inmediatamente del grupo. Marcar todos los pares como inactivos. Elimine todas las SA de IKE del servidor par. Enviar cluster-init al servidor raíz.

Rekey TEK. Rekey KEK. Enviar nuevas claves a los subservidores. Enviar nuevas claves a los miembros.

Agregar par

Ninguno.

Eliminar par

Marcar par inactivo. Borrar SA IKE del mismo nivel.

Marcar par inactivo. Borrar KEK. Borre el TEK. Borrar SA IKE del mismo nivel.

Cambiar el período de retransmisión

Ninguno.

Eliminar clúster de servidores

Envíe "eliminar todo" a los subservidores. Elimine todos los TEK y KEK inmediatamente del grupo. Marcar todos los pares como inactivos. Elimine todas las SA de IKE del servidor par. Genere nuevos TEK y KEK de acuerdo con la configuración.

Elimine todas las SA de IKE miembros del grupo. Elimine todos los TEK y KEK inmediatamente del grupo. Elimine todos los miembros registrados del grupo. Marcar par inactivo. Elimine las SA de IKE del servidor par. Generar nuevos TEK y KEK según la configuración.

Migración de un servidor VPNv2 de grupo independiente a un clúster de servidores VPNv2 de grupo

El grupo VPNv2 es compatible con los firewalls de las series SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600, así como en las instancias del firewall virtual vSRX. En esta sección se describe cómo migrar un servidor VPNv2 de grupo independiente a un clúster de servidores VPN de grupo.

Para migrar un servidor VPNv2 de grupo independiente a un servidor raíz:

Se recomienda encarecidamente que el servidor raíz sea un clúster de chasis.

  1. Actualice el servidor VPNv2 de grupo independiente a un clúster de chasis. Consulte la Guía del usuario del clúster de chasis para dispositivos de la serie SRX para obtener más información.

    Es necesario reiniciar durante la actualización de un firewall independiente de la serie SRX a un nodo de clúster de chasis. Se espera pérdida de tráfico.

  2. En el clúster de chasis, agregue la configuración de servidor raíz del clúster de servidores VPN v2 de grupo. La función de servidor configurada para el clúster debe ser root-server.

    No debe haber pérdida de tráfico entre los miembros del grupo existentes durante el cambio de configuración.

Para agregar un subservidor al clúster de servidores VPN v2 de grupo:

  1. En el servidor raíz, configure una puerta de enlace IKE de servidor VPN v2 de grupo y una puerta de enlace IKE de clúster de servidores para el subservidor. Las SA ni el tráfico de miembros existentes no deberían verse afectados.

  2. En el subservidor, configure el clúster de servidores. Recuerde que la configuración de VPN de grupo v2 debe ser la misma en cada servidor del clúster, con la excepción de las puertas de enlace IKE del servidor VPN v2 de grupo, el rol de servidor en el clúster y las configuraciones de puerta de enlace IKE del clúster de servidores. En el subservidor, la función de servidor configurada en el clúster debe ser sub-server. Configure una puerta de enlace IKE de servidor VPN v2 de grupo y una puerta de enlace IKE de clúster de servidores para el servidor raíz.

Para eliminar un subservidor del clúster de servidores VPN v2 de grupo:

  1. En el servidor raíz, elimine las configuraciones de puerta de enlace IKE del servidor VPN v2 de grupo y puerta de enlace IKE del clúster de servidores para el subservidor. Las SA ni el tráfico de miembros existentes no deberían verse afectados.

  2. Apague el subservidor.

Ejemplo: Configuración de un grupo de servidores VPNv2 y miembros

En este ejemplo se muestra cómo configurar un clúster de servidores VPN de grupo para proporcionar redundancia y escalado de controlador de grupo/servidor de claves (GCKS) a los miembros del grupo VPNv2 de grupo. La VPNv2 de grupo es compatible con dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600, así como en instancias de firewall virtual vSRX.

Requisitos

En el ejemplo se utilizan los siguientes componentes de hardware y software:

  • Ocho firewalls de la serie SRX compatibles o instancias de firewall virtual vSRX que ejecutan Junos OS versión 15.1X49-D30 o posterior que admiten el grupo VPNv2:

    • Dos dispositivos o instancias están configurados para funcionar como un clúster de chasis. El clúster de chasis funciona como servidor raíz en el clúster de servidores VPN v2 de grupo. Los dispositivos o instancias deben tener la misma versión de software y licencias.

      El servidor raíz es responsable de generar y distribuir claves de cifrado a los subservidores en el grupo de servidores VPN; Debido a esta responsabilidad, recomendamos que el servidor raíz sea un clúster de chasis.

    • Otros cuatro dispositivos o instancias funcionan como subservidores en el clúster de servidores VPN v2 de grupo.

    • Otros dos dispositivos o instancias funcionan como miembros del grupo VPN de grupo.

  • Dos dispositivos compatibles de la serie MX que ejecuten Junos OS versión 15.1R2 o posterior que admitan Group VPNv2. Estos dispositivos funcionan como miembros del grupo VPN v2 de grupo.

Se debe configurar un nombre de host, una contraseña de administrador raíz y acceso de administración en cada instancia de firewall serie SRX o firewall virtual vSRX. Recomendamos que NTP también se configure en cada dispositivo.

Las configuraciones de este ejemplo se centran en lo que se necesita para el funcionamiento de VPN de grupo, según la topología que se muestra en Figura 3. Algunas configuraciones, como la interfaz, el enrutamiento o las configuraciones de clúster de chasis, no se incluyen aquí. Por ejemplo, la operación VPN de grupo v2 requiere una topología de enrutamiento funcional que permita a los dispositivos cliente llegar a sus sitios previstos en toda la red; En este ejemplo no se trata la configuración del enrutamiento estático o dinámico.

Descripción general

En este ejemplo, la red VPN de grupo v2 consta de un clúster de servidores y cuatro miembros. El clúster de servidores consta de un servidor raíz y cuatro subservidores. Dos de los miembros son firewalls de la serie SRX o instancias de firewall virtual vSRX, mientras que los otros dos miembros son dispositivos de la serie MX.

Las SA de VPN de grupo deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración de VPN de grupo debe incluir la configuración de negociaciones de fase 1 de IKE en el servidor raíz, los subservidores y los miembros del grupo. Las configuraciones de IKE se describen a continuación.

En el servidor raíz:

  • La política SubSrv IKE se utiliza para establecer SA de fase 1 con cada subservidor.

  • Una puerta de enlace IKE se configura con detección de pares inactivos (DPD) para cada subservidor.

  • La función de clúster de servidores es root-server y cada subservidor se configura como una puerta de enlace IKE para el clúster de servidores.

El servidor raíz debe configurarse para admitir el funcionamiento del clúster del chasis. En el ejemplo, las interfaces Ethernet redundantes en el servidor raíz se conectan a cada uno de los subservidores del clúster de servidores; No se muestra toda la configuración del clúster de chasis.

En cada subservidor:

  • Se configuran dos políticas de IKE: RootSrv se utiliza para establecer una SA de fase 1 con el servidor raíz y GMs se utiliza para establecer SA de fase 1 con cada miembro del grupo.

    Las claves previamente compartidas se utilizan para proteger las SA de fase 1 entre el servidor raíz y los subservidores y entre los subservidores y los miembros del grupo. Asegúrese de que las claves previamente compartidas utilizadas sean claves seguras. En los subservidores, la clave previamente compartida configurada para la política RootSrv IKE debe coincidir con la clave previamente compartida configurada en el servidor raíz y la clave previamente compartida configurada para la política GMs IKE debe coincidir con la clave previamente compartida configurada en los miembros del grupo.

  • Una puerta de enlace IKE está configurada con DPD para el servidor raíz. Además, se configura una puerta de enlace IKE para cada miembro del grupo.

  • La función de clúster de servidores es sub-server y el servidor raíz se configura como puerta de enlace de IKE para el clúster de servidores.

En cada miembro del grupo:

  • La política SubSrv IKE se utiliza para establecer SA de fase 1 con los subservidores.

  • La configuración de la puerta de enlace de IKE incluye las direcciones de los subservidores.

En los firewalls de la serie SRX o los miembros del grupo Firewall virtual vSRX, se configura una política IPsec para el grupo con la zona LAN como zona de origen (tráfico entrante) y la zona WAN como zona de destino (tráfico saliente). También se necesita una política de seguridad para permitir el tráfico entre las zonas LAN y WAN.

Se debe configurar el mismo identificador de grupo tanto en el servidor de grupo como en los miembros del grupo. En este ejemplo, el nombre del grupo es GROUP_ID-0001 y el identificador de grupo es 1. La directiva de grupo configurada en el servidor especifica que la SA y la clave se aplican al tráfico entre subredes en el intervalo 172.16.0.0/12.

Topología

Figura 3 muestra los dispositivos de Juniper Networks que se van a configurar para este ejemplo.

Figura 3: Agrupe el clúster de servidores VPNv2 con la serie SRX o el firewall virtual vSRX y los miembros de la serie MXAgrupe el clúster de servidores VPNv2 con la serie SRX o el firewall virtual vSRX y los miembros de la serie MX

Configuración

Configuración del servidor raíz

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el servidor raíz:

  1. Configurar zonas de seguridad y políticas de seguridad.

  2. Configure el clúster de chasis.

  3. Configure la propuesta, la política y la puerta de enlace de IKE.

  4. Configure la SA IPsec.

  5. Configure el grupo VPN.

  6. Configure la directiva de grupo.

Resultados

Desde el modo de configuración, escriba los comandos , y show security para confirmar la show interfacesconfiguración. show chassis cluster Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del subservidor 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el subservidor en el clúster de servidores VPN v2 de grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure la propuesta, la política y la puerta de enlace de IKE.

  3. Configure la SA IPsec.

  4. Configure el grupo VPN.

  5. Configure la directiva de grupo.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos y show security . Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del subservidor 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el subservidor en el clúster de servidores VPN v2 de grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure la propuesta, la política y la puerta de enlace de IKE.

  3. Configure la SA IPsec.

  4. Configure el grupo VPN.

  5. Configure la directiva de grupo.

Resultados

Desde el modo de configuración, escriba los comandos show interfaces y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del subservidor 3

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el subservidor en el clúster de servidores VPN v2 de grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure la propuesta, la política y la puerta de enlace de IKE.

  3. Configure la SA IPsec.

  4. Configure el grupo VPN.

  5. Configure la directiva de grupo.

Resultados

Desde el modo de configuración, escriba los comandos show interfaces y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del subservidor 4

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el subservidor en el clúster de servidores VPN v2 de grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure la propuesta, la política y la puerta de enlace de IKE.

  3. Configure la SA IPsec.

  4. Configure el grupo VPN.

  5. Configure la directiva de grupo.

Resultados

Desde el modo de configuración, escriba los comandos show interfaces y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de GM-0001 (firewall de la serie SRX o instancia de firewall virtual vSRX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el miembro VPNv2 de grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure la propuesta, la política y la puerta de enlace de IKE.

  3. Configure la SA IPsec.

  4. Configure la directiva IPsec.

Resultados

Desde el modo de configuración, escriba los comandos show interfaces y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de GM-0002 (firewall de la serie SRX o instancia de firewall virtual vSRX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el miembro VPNv2 de grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure la propuesta, la política y la puerta de enlace de IKE.

  3. Configure la SA IPsec.

  4. Configure la directiva IPsec.

Resultados

Desde el modo de configuración, escriba los comandos show interfaces y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del GM-0003 (dispositivo de la serie MX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el miembro VPNv2 de grupo:

  1. Configure las interfaces.

  2. Configure la propuesta, la política y la puerta de enlace de IKE.

  3. Configure la SA IPsec.

  4. Configure el filtro de servicio.

  5. Configure el conjunto de servicios.

Resultados

Desde el modo de configuración, ingrese los comandos show interfaces, show security, show services y show firewall para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración del GM-0004 (dispositivo de la serie MX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el miembro VPNv2 de grupo:

  1. Configure las interfaces.

  2. Configure la propuesta, la política y la puerta de enlace de IKE.

  3. Configure la SA IPsec.

  4. Configure el filtro de servicio.

  5. Configure el conjunto de servicios.

Resultados

Desde el modo de configuración, ingrese los comandos show interfaces, show security, show services y show firewall para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Comprobar el funcionamiento del clúster del servidor

Propósito

Compruebe que los dispositivos del clúster de servidores reconocen los servidores del mismo nivel del grupo. Asegúrese de que los servidores estén activos y de que los roles del clúster estén asignados correctamente.

Acción

Desde el modo operativo, escriba los show security group-vpn server server-clustercomandos , show security group-vpn server server-cluster detaily show security group-vpn server statistics en el servidor raíz.

Desde el modo operativo, escriba los comandos , show security group-vpn server server-cluster detaily show security group-vpn server statistics en show security group-vpn server server-clustercada subservidor.

Comprobación de que las SA se distribuyen a los miembros

Propósito

Compruebe que los subservidores hayan recibido SA para distribuirlas a los miembros del grupo y que los miembros del grupo hayan recibido las SA.

Acción

Desde el modo operativo, introduzca los show security group-vpn server kek security-associations comandos y show security group-vpn server kek security-associations detail en el servidor raíz.

Desde el modo operativo, introduzca los show security group-vpn server kek security-associations comandos y show security group-vpn server kek security-associations detail en cada subservidor.

Desde el modo operativo, introduzca los comandos y show security group-vpn member kek security-associations detail de cada miembro del show security group-vpn member kek security-associations grupo.

Para los miembros del grupo Firewall serie SRX o Firewall virtual vSRX:

Para los miembros del grupo MX:

Comprobación de SA de IKE en los servidores

Propósito

Mostrar asociaciones de seguridad (SA) de IKE en los servidores.

Acción

Desde el modo operativo, introduzca los show security group-vpn server ike security-associations comandos y show security group-vpn server ike security-associations detail en el servidor raíz.

Desde el modo operativo, introduzca los show security group-vpn server ike security-associations comandos y show security group-vpn server ike security-associations detail en cada subservidor.

Comprobación de SA IPsec en los servidores y miembros del grupo

Propósito

Mostrar asociaciones de seguridad (SA) IPsec en los servidores y miembros del grupo.

Acción

Desde el modo operativo, introduzca los show security group-vpn server ipsec security-associations comandos y show security group-vpn server ipsec security-associations detail en el servidor raíz.

Desde el modo operativo, introduzca los show security group-vpn server ipsec security-associations comandos y show security group-vpn server ipsec security-associations detail en cada subservidor.

Desde el modo operativo, escriba los comandos y show security group-vpn member ipsec security-associations detail en cada miembro del show security group-vpn member ipsec security-associations grupo

Para los miembros del grupo Firewall serie SRX o Firewall virtual vSRX:

Para los miembros del grupo MX:

Comprobación de directivas IPsec en miembros del grupo

Propósito

Muestre la política IPsec en un firewall de la serie SRX o en un miembro del grupo de firewall virtual vSRX.

Este comando no está disponible para los miembros del grupo de la serie MX.

Acción

Desde el modo operativo, ingrese el comando en el firewall de la serie SRX o en los miembros del show security group-vpn member policy grupo de firewall virtual vSRX.