Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Túneles VPN IPsec con clústeres de chasis

El firewall serie SRX admite túneles VPN IPsec en una configuración de clúster de chasis. En un clúster de chasis activo/pasivo, todos los túneles VPN terminan en el mismo nodo. En un clúster de chasis activo/activo, los túneles VPN pueden terminar en cualquiera de los nodos.

Descripción de los clústeres de chasis VPN IPsec de respaldo activo dual

En un clúster de chasis activo/pasivo, todos los túneles VPN terminan en el mismo nodo, como se muestra en Figura 1.

Figura 1: Clúster de chasis activo/pasivo con túneles VPN IPsecClúster de chasis activo/pasivo con túneles VPN IPsec

En un clúster de chasis activo/activo, los túneles VPN pueden terminar en cualquiera de los nodos. Ambos nodos del clúster de chasis pueden pasar tráfico de forma activa a través de túneles VPN en ambos nodos al mismo tiempo, como se muestra en Figura 2. Esta implementación se conoce como clústeres de chasis VPN IPsec de respaldo activo duales.

Figura 2: Clústeres de chasis VPN IPsec con respaldo activo dualClústeres de chasis VPN IPsec con respaldo activo dual

Los clústeres de chasis VPN IPsec de respaldo activo duales son compatibles con las siguientes características:

  • Solo VPN basadas en rutas. No se admiten VPN basadas en políticas.

  • IKEv1 e IKEv2.

  • Certificado digital o autenticación de clave previamente compartida.

  • IKE e interfaces de túnel seguro (st0) en enrutadores virtuales.

  • Traducción y recorrido de direcciones de red (NAT-T).

  • Supervisión de VPN.

  • Detección de pares muertos.

  • Actualización de software en servicio (ISSU).

  • Inserción de tarjetas de procesamiento de servicios (SPC) en un dispositivo de clúster de chasis sin interrumpir el tráfico en los túneles VPN existentes. Consulte Compatibilidad con VPN para insertar tarjetas de procesamiento de servicios.

  • Protocolos de enrutamiento dinámico.

  • Interfaces de túnel seguro (st0) configuradas en modo punto a multipunto.

  • AutoVPN con interfaces st0 en modo punto a punto con selectores de tráfico.

  • Modos de túnel IPv4-en-IPv4, IPv6-en-IPv4, IPv6-en-IPv6 e IPv4-en-IPv6.

  • Tráfico fragmentado.

  • La interfaz de circuito cerrado se puede configurar como la interfaz externa para la VPN.

Los clústeres de chasis VPN IPsec con respaldo activo dual no se pueden configurar con flujos de modo Z. Los flujos en modo Z se producen cuando el tráfico entra en una interfaz en un nodo de clúster de chasis, pasa a través del vínculo de estructura y sale a través de una interfaz en el otro nodo de clúster.

Ejemplo: Configuración de grupos de redundancia para interfaces de circuito cerrado

En este ejemplo se muestra cómo configurar un grupo de redundancia (RG) para una interfaz de circuito cerrado con el fin de evitar errores de VPN. Los grupos de redundancia se usan para agrupar interfaces en un grupo con fines de conmutación por error en una configuración de clúster de chasis.

Requisitos

En este ejemplo se utiliza el siguiente hardware y software:

  • Un par de clústeres de chasis compatibles Firewall serie SRX

  • Un dispositivo SSG140 o equivalente

  • Dos conmutadores

  • Junos OS versión 12.1x44-D10 o posterior para el firewall de la serie SRX

Antes de empezar:

Comprender las interfaces Ethernet redundantes del clúster de chasis. Consulte la Guía del usuario del clúster de chasis para dispositivos de la serie SRX.

Descripción general

Una puerta de enlace de Intercambio de claves por Internet (IKE) necesita una interfaz externa para comunicarse con un dispositivo par. En una configuración de clúster de chasis, el nodo en el que está activa la interfaz externa selecciona una unidad de procesamiento de servicios (SPU) para admitir el túnel VPN. Los paquetes IKE e IPsec se procesan en esa SPU. Por lo tanto, la interfaz externa activa decide la SPU de anclaje.

En una configuración de clúster de chasis, la interfaz externa es una interfaz Ethernet redundante. Una interfaz Ethernet redundante puede dejar de funcionar cuando sus interfaces físicas (secundarias) están inactivas. Puede configurar una interfaz de circuito cerrado como interfaz física alternativa para llegar a la puerta de enlace del mismo nivel. Las interfaces de circuito cerrado se pueden configurar en cualquier grupo de redundancia. Esta configuración de grupo de redundancia solo se comprueba para paquetes VPN, ya que solo los paquetes VPN deben encontrar la SPU de anclaje a través de la interfaz activa.

Debe configurar lo0.x en un enrutador virtual personalizado, ya que lo0.0 está en el enrutador virtual predeterminado y solo se permite una interfaz de circuito cerrado en un enrutador virtual.

Figura 3 muestra un ejemplo de una topología VPN de clúster de chasis de circuito cerrado. En esta topología, el dispositivo de clúster de chasis del firewall serie SRX se encuentra en Sunnyvale, California. El dispositivo de clúster de chasis del firewall serie SRX funciona como una única puerta de enlace en esta configuración. El dispositivo de la serie SSG (o un dispositivo de terceros) se encuentra en Chicago, Illinois. Este dispositivo actúa como un dispositivo par para el clúster de chasis SRX y ayuda a construir un túnel VPN.

Figura 3: Interfaz de circuito cerrado para VPN de clúster de chasisInterfaz de circuito cerrado para VPN de clúster de chasis

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar un grupo de redundancia para una interfaz de circuito cerrado:

  1. Configure la interfaz de circuito cerrado en un grupo de redundancia.

  2. Configure la dirección IP para la interfaz de circuito cerrado.

  3. Configure las opciones de enrutamiento.

  4. Configure la interfaz de circuito cerrado como una interfaz externa para la puerta de enlace IKE.

  5. Configure una propuesta IPsec.

Resultados

Desde el modo de configuración, ingrese los comandos show interfaces lo0, show routing-instances, show security ike y show security ipsec para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Verificación de la configuración

Propósito

Compruebe que la configuración de los grupos de redundancia para las interfaces de circuito cerrado es correcta.

Acción

Desde el modo operativo, ingrese el comando show chassis cluster interfaces.

Significado

El show chassis cluster interfaces comando muestra la información de las interfaces del clúster de chasis. Si el estado del campo Información de pseudointerfaz redundante muestra la interfaz lo0 como Activa y el estado del campo Información de Ethernet redundante muestra los campos reth0, reth1 y reth2 como Arriba, entonces su configuración es correcta.