Настройка Juniper NHTB (Next-Hop Tunnel Binding) MultiPoint IPSec VPN (VDual Hub & Spokes) + OSPF
6 года 2 нед. назад - 6 года 1 нед. назад #108
от PNV
PNV создал эту тему: Настройка Juniper NHTB (Next-Hop Tunnel Binding) MultiPoint IPSec VPN (VDual Hub
В данной статье описывается построение IPSec VPN туннелей на основе технологии Juniper NHTB (Next-Hop Tunnel Binding) c резервированием внешних каналов передачи данных на узле Hub (Virtual Dual Hub), c использованием динамической маршрутизации OSPF между Hub и Spoke узлами.
Суть технологии Next-Hop Tunnel Binding заключается в использовании отдельной таблицы туннелей NHTB, помимо основной таблицы маршрутизации inet.0. Маршрутизатор сопоставляет эти две таблицы для направления трафика в нужный туннель.
Построение IPSec туннелей с использованием технологии NHTB даёт некоторые преимущества по сравнению с обычными IPSec туннелями:
1) Возможность использования единственного туннельного интерфейса в режиме multipoint на Hub-узле (например интерфейс st0.0 type p2mp) для построения множества VPN-туннелей с Spoke-узлами. Тогда как при постороении обычных IPSec туннелей на Hub-узле необходимо выделять отдельный туннельный интерфейс для каждого Spoke-узла, что влечет за собой аппаратаные ограничения по кол-ву используемых туннельных интерфейсов;
2) Возможность использования динамической маршрутизации между Hub и Spoke узлами (например OSPF);
А также имеет свои недостатки:
1) Использование технологии NHTB при построении туннеля возможно только, если в качестве Hub и Spoke узлов используется устройство Juniper (версия JunOS не ранее 9.5);
2) Невозможность прямого прохождения трафика Spoke-to-Spoke. Трафик между Spoke узлами всегда проходит через Hub узел (в отличии от Cisco DMVPN);
3) Необходимость создания на Hub узле отдельных IKE (IKE Gateway) и IPSec (ipsec vpn) настроек для каждого из Spoke узлов (в отличии от Cisco DMVPN, где на Hub узле создается один единственный IPSec и IKE профиль для всех Spoke узлов);
Рассмотрим по шагам настройки Hub и Spoke маршрутизаторов.
1. Настройка Hub-узла (SRX240h версия JunOS 10.4R4.5)
1.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Spoke-узлами. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Spoke-узлами.
1.2 Настройка VPN-туннелей с Spoke-узлами.
Для каждого из Spoke-узлов создаем свои отдельные настройки ike gateway и ipsec vpn.
1.3 Настраиваем маршрутизацию.
При настройке OSPF необходимо учесть, что для каждого из туннельных интерфейсов st0.1 и st0.2 необходимо создавать свою ospf area, т.к. в одной и той же area c двумя туннельными интерфейсами до одних и тех же neighbors, маршрутизация работать не будет, т.е. туннельные (spokes) ospf neighbors будут постоянно переходить из состояния init -> exchange -> full -> down -> init и так далее по циклу. Вероятно это одна из недоработок версии Junos 10.4R4.5, хотя в более поздних версиях данная проблема остается. В связи с этой недоработкой придется также создавать политику для экспорта локальной подключенной сети (10.0.0.0/24) в OSPF-протокол, т.к. нельзя будет просто отнести один и тот же интерфейс локальной сети ge-0/0/3 сразу к двум OSPF area.
2. Настройка Spoke1 (Juniper SRX100b версия JunOS 10.4R9.2)
2.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Hub-узлом. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Hub-узлом.
2.2 Настройка VPN-туннелей с Hub.
Для каждого из каналов до Hub-узла (ISP1 и ISP2) создаем отдельные настройки ike gateway и ipsec vpn.
2.3 Настраиваем маршрутизацию.
Настройка OSPF делается аналогично Hub-узлу, за исключением того, что экспортируем LAN Spoke1 (10.0.1.0/24). Тип туннельных интерфейсов также делаем p2mp (point-to-multipoint), хотя это и Spoke-узел, т.к. без этого OSPF работать не будет.
3. Настройка Spoke2 (Juniper SRX100b версия JunOS 10.4R9.2)
3.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Hub-узлом. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Hub-узлом.
3.2 Настройка VPN-туннелей с Hub.
Для каждого из каналов до Hub-узла (ISP1 и ISP2) создаем отдельные настройки ike gateway и ipsec vpn.
3.3 Настраиваем маршрутизацию.
Настройка OSPF делается аналогично Hub-узлу, за исключением того, что экспортируем LAN Spoke2 (10.0.2.0/24). Тип туннельных интерфейсов также делаем p2mp (point-to-multipoint), хотя это и Spoke-узел, т.к. без этого OSPF работать не будет.
На этом настройка оборудования закончена, теперь можно проверять работоспособность.
4. Проверяем состояние VPN-туннелей и динамической маршрутизации.
проверка состояния IKE-туннеля (1-я фаза)проверка состояния IPSec-туннеля (2-я фаза)проверка работы NHTBпроверка состояния OSPF-neighbors и маршрутовВ таблице OSPF Spoke1 мы видим, что протокол OSPF автоматически выбрал приоритетными маршруты до удалённых локальных сетей Spoke2 и Hub ч/з интерфейс st0.1. При "падении" канала ISP1 на Hub-узле, OSPF neighbor c IP-адресом 10.254.0.1 перейдет в состояние down, и маршрутизация автоматически будет осуществляться ч/з интерфейс st0.2, т.е. по каналу ISP2 до Hub-узла. И при просмотре маршрутов на Spoke1 будет уже вот такая таблица:
Суть технологии Next-Hop Tunnel Binding заключается в использовании отдельной таблицы туннелей NHTB, помимо основной таблицы маршрутизации inet.0. Маршрутизатор сопоставляет эти две таблицы для направления трафика в нужный туннель.
Построение IPSec туннелей с использованием технологии NHTB даёт некоторые преимущества по сравнению с обычными IPSec туннелями:
1) Возможность использования единственного туннельного интерфейса в режиме multipoint на Hub-узле (например интерфейс st0.0 type p2mp) для построения множества VPN-туннелей с Spoke-узлами. Тогда как при постороении обычных IPSec туннелей на Hub-узле необходимо выделять отдельный туннельный интерфейс для каждого Spoke-узла, что влечет за собой аппаратаные ограничения по кол-ву используемых туннельных интерфейсов;
2) Возможность использования динамической маршрутизации между Hub и Spoke узлами (например OSPF);
А также имеет свои недостатки:
1) Использование технологии NHTB при построении туннеля возможно только, если в качестве Hub и Spoke узлов используется устройство Juniper (версия JunOS не ранее 9.5);
2) Невозможность прямого прохождения трафика Spoke-to-Spoke. Трафик между Spoke узлами всегда проходит через Hub узел (в отличии от Cisco DMVPN);
3) Необходимость создания на Hub узле отдельных IKE (IKE Gateway) и IPSec (ipsec vpn) настроек для каждого из Spoke узлов (в отличии от Cisco DMVPN, где на Hub узле создается один единственный IPSec и IKE профиль для всех Spoke узлов);
Рассмотрим по шагам настройки Hub и Spoke маршрутизаторов.
1. Настройка Hub-узла (SRX240h версия JunOS 10.4R4.5)
1.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Spoke-узлами. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Spoke-узлами.
ВНИМАНИЕ: Спойлер!
1.2 Настройка VPN-туннелей с Spoke-узлами.
Для каждого из Spoke-узлов создаем свои отдельные настройки ike gateway и ipsec vpn.
ВНИМАНИЕ: Спойлер!
1.3 Настраиваем маршрутизацию.
При настройке OSPF необходимо учесть, что для каждого из туннельных интерфейсов st0.1 и st0.2 необходимо создавать свою ospf area, т.к. в одной и той же area c двумя туннельными интерфейсами до одних и тех же neighbors, маршрутизация работать не будет, т.е. туннельные (spokes) ospf neighbors будут постоянно переходить из состояния init -> exchange -> full -> down -> init и так далее по циклу. Вероятно это одна из недоработок версии Junos 10.4R4.5, хотя в более поздних версиях данная проблема остается. В связи с этой недоработкой придется также создавать политику для экспорта локальной подключенной сети (10.0.0.0/24) в OSPF-протокол, т.к. нельзя будет просто отнести один и тот же интерфейс локальной сети ge-0/0/3 сразу к двум OSPF area.
ВНИМАНИЕ: Спойлер!
2. Настройка Spoke1 (Juniper SRX100b версия JunOS 10.4R9.2)
2.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Hub-узлом. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Hub-узлом.
ВНИМАНИЕ: Спойлер!
2.2 Настройка VPN-туннелей с Hub.
Для каждого из каналов до Hub-узла (ISP1 и ISP2) создаем отдельные настройки ike gateway и ipsec vpn.
ВНИМАНИЕ: Спойлер!
2.3 Настраиваем маршрутизацию.
Настройка OSPF делается аналогично Hub-узлу, за исключением того, что экспортируем LAN Spoke1 (10.0.1.0/24). Тип туннельных интерфейсов также делаем p2mp (point-to-multipoint), хотя это и Spoke-узел, т.к. без этого OSPF работать не будет.
ВНИМАНИЕ: Спойлер!
3. Настройка Spoke2 (Juniper SRX100b версия JunOS 10.4R9.2)
3.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Hub-узлом. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Hub-узлом.
ВНИМАНИЕ: Спойлер!
3.2 Настройка VPN-туннелей с Hub.
Для каждого из каналов до Hub-узла (ISP1 и ISP2) создаем отдельные настройки ike gateway и ipsec vpn.
ВНИМАНИЕ: Спойлер!
3.3 Настраиваем маршрутизацию.
Настройка OSPF делается аналогично Hub-узлу, за исключением того, что экспортируем LAN Spoke2 (10.0.2.0/24). Тип туннельных интерфейсов также делаем p2mp (point-to-multipoint), хотя это и Spoke-узел, т.к. без этого OSPF работать не будет.
ВНИМАНИЕ: Спойлер!
На этом настройка оборудования закончена, теперь можно проверять работоспособность.
4. Проверяем состояние VPN-туннелей и динамической маршрутизации.
проверка состояния IKE-туннеля (1-я фаза)
root@spoke1> show security ike security-associations
Index Remote Address State Initiator cookie Responder cookie Mode
4194981 1.1.1.1 UP 298095fdc7bb5ce5 66a4d57d024cd3e0 Aggressive
4194980 2.2.2.1 UP 9986e64943fabc5f 4b7feacbc412741f Aggressiveroot@spoke1> show security ipsec security-associations
Total active tunnels: 2
ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys
<131073 1.1.1.1 500 ESP:3des/sha1 1d6f487f 2395/ unlim - root
>131073 1.1.1.1 500 ESP:3des/sha1 96b3b13b 2395/ unlim - root
<131074 2.2.2.1 500 ESP:3des/sha1 d5d98792 2410/ unlim - root
>131074 2.2.2.1 500 ESP:3des/sha1 f406b758 2410/ unlim - rootroot@spoke1> show security ipsec next-hop-tunnels
Next-hop gateway interface IPSec VPN name Flag
10.254.0.1 st0.1 Hub-ISP1 Auto
10.253.0.1 st0.2 Hub-ISP2 Autoroot@spoke1> show ospf neighbor
Address Interface State ID Pri Dead
10.254.0.1 st0.1 Full 10.0.0.1 128 31
10.253.0.1 st0.2 Full 10.0.0.1 128 37
root@spoke1> show route protocol ospf
inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[OSPF/110] 02:11:35, metric 0
> to 10.254.0.1 via st0.1
10.0.2.0/24 *[OSPF/110] 02:11:35, metric 0, tag 0
> to 10.254.0.1 via st0.1root@spoke1> show route protocol ospf
inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[OSPF/110] 02:11:35, metric 0
> to 10.253.0.1 via st0.2
10.0.2.0/24 *[OSPF/110] 02:11:35, metric 0, tag 0
> to 10.253.0.1 via st0.2Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Forum Login
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Настройка Juniper NHTB (Next-Hop Tunnel Binding) MultiPoint IPSec VPN (VDual Hub & Spokes) + OSPF