Настройка Juniper NHTB (Next-Hop Tunnel Binding) MultiPoint IPSec VPN (VDual Hub & Spokes) + OSPF

Больше
5 года 8 мес. назад - 5 года 8 мес. назад #108 от PNV
PNV создал эту тему: Настройка Juniper NHTB (Next-Hop Tunnel Binding) MultiPoint IPSec VPN (VDual Hub
В данной статье описывается построение IPSec VPN туннелей на основе технологии Juniper NHTB (Next-Hop Tunnel Binding) c резервированием внешних каналов передачи данных на узле Hub (Virtual Dual Hub), c использованием динамической маршрутизации OSPF между Hub и Spoke узлами.

Суть технологии Next-Hop Tunnel Binding заключается в использовании отдельной таблицы туннелей NHTB, помимо основной таблицы маршрутизации inet.0. Маршрутизатор сопоставляет эти две таблицы для направления трафика в нужный туннель.

Построение IPSec туннелей с использованием технологии NHTB даёт некоторые преимущества по сравнению с обычными IPSec туннелями:

1) Возможность использования единственного туннельного интерфейса в режиме multipoint на Hub-узле (например интерфейс st0.0 type p2mp) для построения множества VPN-туннелей с Spoke-узлами. Тогда как при постороении обычных IPSec туннелей на Hub-узле необходимо выделять отдельный туннельный интерфейс для каждого Spoke-узла, что влечет за собой аппаратаные ограничения по кол-ву используемых туннельных интерфейсов;

2) Возможность использования динамической маршрутизации между Hub и Spoke узлами (например OSPF);

А также имеет свои недостатки:

1) Использование технологии NHTB при построении туннеля возможно только, если в качестве Hub и Spoke узлов используется устройство Juniper (версия JunOS не ранее 9.5);

2) Невозможность прямого прохождения трафика Spoke-to-Spoke. Трафик между Spoke узлами всегда проходит через Hub узел (в отличии от Cisco DMVPN);

3) Необходимость создания на Hub узле отдельных IKE (IKE Gateway) и IPSec (ipsec vpn) настроек для каждого из Spoke узлов (в отличии от Cisco DMVPN, где на Hub узле создается один единственный IPSec и IKE профиль для всех Spoke узлов);





Рассмотрим по шагам настройки Hub и Spoke маршрутизаторов.

1. Настройка Hub-узла (SRX240h версия JunOS 10.4R4.5)


1.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Spoke-узлами. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Spoke-узлами.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


1.2 Настройка VPN-туннелей с Spoke-узлами.
Для каждого из Spoke-узлов создаем свои отдельные настройки ike gateway и ipsec vpn.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


1.3 Настраиваем маршрутизацию.
При настройке OSPF необходимо учесть, что для каждого из туннельных интерфейсов st0.1 и st0.2 необходимо создавать свою ospf area, т.к. в одной и той же area c двумя туннельными интерфейсами до одних и тех же neighbors, маршрутизация работать не будет, т.е. туннельные (spokes) ospf neighbors будут постоянно переходить из состояния init -> exchange -> full -> down -> init и так далее по циклу. Вероятно это одна из недоработок версии Junos 10.4R4.5, хотя в более поздних версиях данная проблема остается. В связи с этой недоработкой придется также создавать политику для экспорта локальной подключенной сети (10.0.0.0/24) в OSPF-протокол, т.к. нельзя будет просто отнести один и тот же интерфейс локальной сети ge-0/0/3 сразу к двум OSPF area.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


2. Настройка Spoke1 (Juniper SRX100b версия JunOS 10.4R9.2)

2.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Hub-узлом. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Hub-узлом.

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

2.2 Настройка VPN-туннелей с Hub.
Для каждого из каналов до Hub-узла (ISP1 и ISP2) создаем отдельные настройки ike gateway и ipsec vpn.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


2.3 Настраиваем маршрутизацию.
Настройка OSPF делается аналогично Hub-узлу, за исключением того, что экспортируем LAN Spoke1 (10.0.1.0/24). Тип туннельных интерфейсов также делаем p2mp (point-to-multipoint), хотя это и Spoke-узел, т.к. без этого OSPF работать не будет.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


3. Настройка Spoke2 (Juniper SRX100b версия JunOS 10.4R9.2)

3.1 Настройка интерфейсов и security zones.
Создаем зоны: trust, Internet и VPN. Для зон Internet и VPN разрешаем порт IKE, для установления туннелей с Hub-узлом. А для зоны VPN разрешаем ещё и протокол OSPF, для организации динамической маршрутизации с Hub-узлом.

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

3.2 Настройка VPN-туннелей с Hub.
Для каждого из каналов до Hub-узла (ISP1 и ISP2) создаем отдельные настройки ike gateway и ipsec vpn.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]

3.3 Настраиваем маршрутизацию.
Настройка OSPF делается аналогично Hub-узлу, за исключением того, что экспортируем LAN Spoke2 (10.0.2.0/24). Тип туннельных интерфейсов также делаем p2mp (point-to-multipoint), хотя это и Spoke-узел, т.к. без этого OSPF работать не будет.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


На этом настройка оборудования закончена, теперь можно проверять работоспособность.


4. Проверяем состояние VPN-туннелей и динамической маршрутизации.

проверка состояния IKE-туннеля (1-я фаза)
root@spoke1> show security ike security-associations    
Index   Remote Address  State  Initiator cookie  Responder cookie  Mode
4194981 1.1.1.1    	UP     298095fdc7bb5ce5  66a4d57d024cd3e0  Aggressive
4194980 2.2.2.1	        UP     9986e64943fabc5f  4b7feacbc412741f  Aggressive
проверка состояния IPSec-туннеля (2-я фаза)
root@spoke1> show security ipsec security-associations
  Total active tunnels: 2
  ID    Gateway          Port  Algorithm       SPI      Life:sec/kb  Mon vsys
  <131073 1.1.1.1        500   ESP:3des/sha1   1d6f487f 2395/ unlim   -   root
  >131073 1.1.1.1        500   ESP:3des/sha1   96b3b13b 2395/ unlim   -   root
  <131074 2.2.2.1        500   ESP:3des/sha1   d5d98792 2410/ unlim   -   root
  >131074 2.2.2.1        500   ESP:3des/sha1   f406b758 2410/ unlim   -   root
проверка работы NHTB
root@spoke1> show security ipsec next-hop-tunnels
Next-hop gateway  interface   IPSec VPN name                    Flag
10.254.0.1        st0.1       Hub-ISP1                          Auto
10.253.0.1        st0.2       Hub-ISP2                          Auto
проверка состояния OSPF-neighbors и маршрутов
root@spoke1> show ospf neighbor
Address          Interface              State     ID               Pri  Dead
10.254.0.1       st0.1                  Full      10.0.0.1         128    31
10.253.0.1       st0.2                  Full      10.0.0.1         128    37

root@spoke1> show route protocol ospf

inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

10.0.0.0/24        *[OSPF/110] 02:11:35, metric 0
                    > to 10.254.0.1 via st0.1
10.0.2.0/24        *[OSPF/110] 02:11:35, metric 0, tag 0
                    > to 10.254.0.1 via st0.1
В таблице OSPF Spoke1 мы видим, что протокол OSPF автоматически выбрал приоритетными маршруты до удалённых локальных сетей Spoke2 и Hub ч/з интерфейс st0.1. При "падении" канала ISP1 на Hub-узле, OSPF neighbor c IP-адресом 10.254.0.1 перейдет в состояние down, и маршрутизация автоматически будет осуществляться ч/з интерфейс st0.2, т.е. по каналу ISP2 до Hub-узла. И при просмотре маршрутов на Spoke1 будет уже вот такая таблица:
root@spoke1> show route protocol ospf

inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

10.0.0.0/24        *[OSPF/110] 02:11:35, metric 0
                    > to 10.253.0.1 via st0.2
10.0.2.0/24        *[OSPF/110] 02:11:35, metric 0, tag 0
                    > to 10.253.0.1 via st0.2
Вложения:
Последнее редактирование: 5 года 8 мес. назад от PNV.
Спасибо сказали: Benderrr

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум