NESTA PÁGINA
Solicitação e instalação de certificados digitais em seu roteador
Exemplo: Configuração de SA dinâmica do IKE com certificados digitais
Exemplo: Configuração do junos VPN Site Secure no MS-MIC e MS-MPC
Exemplo: configuração de túneis IPsec atribuídos estaticamente em uma instância VRF
Desativação de NAT-T em roteadores da Série MX para lidar com NAT com pacotes protegidos por IPsec
Conjuntos de serviços para túneis IPsec de endpoint estático
Conjuntos de serviços
O PIC de serviços adaptativos oferece suporte a dois tipos de conjuntos de serviços quando você configura túneis IPSec. Como eles são usados para diferentes finalidades, é importante saber as diferenças entre esses tipos de conjunto de serviços.
Conjunto de serviços de próximo salto — oferece suporte a protocolos de roteamento dinâmico multicast e multicast (como OSPF) por IPSec. Os conjuntos de serviços de próximo salto permitem que você use interfaces lógicas internas e externas no PIC de serviços adaptativos para se conectar com várias instâncias de roteamento. Eles também permitem o uso da tradução de endereços de rede (NAT) e recursos de firewall stateful. No entanto, os conjuntos de serviços de próximo salto não monitoram o tráfego do mecanismo de roteamento por padrão e exigem a configuração de vários conjuntos de serviços para oferecer suporte ao tráfego de várias interfaces.
Conjunto de serviços de interface — aplicado a uma interface física e semelhante a um filtro de firewall stateless. Eles são fáceis de configurar, podem suportar tráfego de várias interfaces e podem monitorar o tráfego do mecanismo de roteamento por padrão. No entanto, eles não podem suportar protocolos de roteamento dinâmicos ou tráfego multicast pelo túnel IPSec.
Em geral, recomendamos que você use conjuntos de serviços de próximo salto porque eles suportam protocolos de roteamento e multicast sobre o túnel IPSec, eles são mais fáceis de entender, e a tabela de roteamento toma decisões de encaminhamento sem intervenção administrativa.
Veja também
Configuração de conjuntos de serviços IPsec
Os conjuntos de serviços IPsec exigem especificações adicionais que você configura no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia:
[edit services service-set service-set-name ipsec-vpn-options] anti-replay-window-size bits; clear-dont-fragment-bit; copy-dont-fragment-bit set-dont-fragment-bit ike-access-profile profile-name; local-gateway address <gw-interface interface-name.logical-unit-number>; no-anti-replay; no-certificate-chain-in-ike; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes;
A configuração dessas declarações é descrita nas seguintes seções:
- Configuração do endereço de gateway local para conjuntos de serviços IPsec
- Configuração de perfis de acesso IKE para conjuntos de serviços IPsec
- Configuração de autoridades de certificação para conjuntos de serviços IPsec
- Configuração ou desativação do serviço antireplay
- Limpar a broca de não fragmentar
- Configuração de tunelamento de modo passivo
- Configuração do valor do MTU do túnel
- Configuração do encaminhamento multicaminho IPsec com encapsulamento de UDP
Configuração do endereço de gateway local para conjuntos de serviços IPsec
Se você configurar um conjunto de serviços IPsec, você também deve configurar um endereço IPv4 ou IPv6 local, incluindo a local-gateway
declaração:
Se o endereço IP de gateway da Internet Key Exchange (IKE) estiver em inet.0 (a situação padrão), você configura a seguinte declaração:
local-gateway address;
Se o endereço IP do gateway IKE estiver em uma instância de roteamento e encaminhamento de VPN (VRF), configure a seguinte declaração:
local-gateway address routing-instance instance-name;
Você pode configurar todos os túneis do tipo link que compartilham o mesmo endereço de gateway local em um único conjunto de serviços no estilo next-hop. Você deve especificar um valor para a inside-service-interface
declaração no nível de [edit services service-set service-set-name]
hierarquia que corresponda ao ipsec-inside-interface
valor, que você configura no nível de [edit services ipsec-vpn rule rule-name term term-name from]
hierarquia. Para obter mais informações sobre a configuração do IPsec, consulte Configuração de regras de IPsec.
A partir do Junos OS Release 16.1, para configurar túneis do tipo de enlace (ou seja, estilo next-hop), para fins de HA, você pode configurar interfaces lógicas AMS como interfaces internas IPsec usando a ipsec-inside-interface interface-name
declaração no [edit services ipsec-vpn rule rule-name term term-name from]
nível hierárquica.
A partir do Junos OS Release 17.1, a AMS oferece suporte à distribuição de túneis IPSec.
- Endereços IKE em instâncias VRF
- Compensação de SAs quando o endereço local do gateway ou MS-MPC ou MS-MIC cai
Endereços IKE em instâncias VRF
Você pode configurar endereços IP de gateway do Internet Key Exchange (IKE) que estão presentes em uma instância de roteamento e encaminhamento de VPN (VRF), desde que o peer possa ser alcançado por meio da instância VRF.
Para conjuntos de serviços de próximo salto, o processo de gerenciamento de chave (kmd) coloca os pacotes IKE na instância de roteamento que contém o outside-service-interface
valor que você especifica, como neste exemplo:
routing-instances vrf-nxthop { instance-type vrf; interface sp-1/1/0.2; ... } services service-set service-set-1 { next-hop-service { inside-service-interface sp-1/1/0.1; outside-service-interface sp-1/1/0.2; } ... }
Para conjuntos de serviços de interface, a service-interface
declaração determina o VRF, como neste exemplo:
routing-instances vrf-intf { instance-type vrf; interface sp-1/1/0.3; interface ge-1/2/0.1; # interface on which service set is applied ... } services service-set service-set-2 { interface-service { service-interface sp-1/1/0.3; } ... }
Compensação de SAs quando o endereço local do gateway ou MS-MPC ou MS-MIC cai
A partir do Junos OS Release 17.2R1, tou pode usar a gw-interface
declaração para permitir a limpeza de gatilhos IKE e SAs IKE e IPsec quando o endereço IP local de gateway de um túnel IPsec cair, ou o MS-MIC ou MS-MPC sendo usado no conjunto de serviços do túnel cai.
local-gateway address <gw-interface interface-name.logical-unit-number>;
O interface-name e logical-unit-number deve combinar a interface e a unidade lógica em que o endereço IP do gateway local está configurado.
Se o endereço IP do gateway local para o conjunto de serviços de um túnel IPsec cair ou o MS-MIC ou MS-MPC que está sendo usado no conjunto de serviços cair, o conjunto de serviços não enviará mais gatilhos IKE. Além disso, quando o endereço IP do gateway local cai, os SAs IKE e IPsec são liberados para conjuntos de serviços de próximo salto e vão para o estado não instalado para conjuntos de serviços no estilo de interface. Os SAs que têm o estado não instalado são excluídos quando o endereço IP do gateway local é novamente atualizado.
Se o endereço IP de gateway local que cai para um conjunto de serviços de próximo salto for para o peer respondente, então você precisa limpar os SAs IKE e IPsec no peer de iniciação para que o túnel IPsec volte a subir assim que o endereço IP do gateway local estiver de volta. Você pode limpar manualmente os SAs IKE e IPsec no peer de iniciação (veja serviços claros ipsec-vpn ike security-associations e serviços claros ipsec-vpn ipsec security-associations) ou permitir a detecção de peer morto no peer iniciador (ver Configuração de regras de firewall stateful).
Configuração de perfis de acesso IKE para conjuntos de serviços IPsec
Somente para tunelamento dinâmico de endpoint, você precisa consultar o perfil de acesso IKE configurado no nível de [edit access]
hierarquia. Para fazer isso, inclua a ike-access-profile
declaração no nível hierárquica [edit services service-set service-set-name ipsec-vpn-options]
:
[edit services service-set service-set-name ipsec-vpn-options] ike-access-profile profile-name;
A ike-access-profile
declaração deve fazer referência ao mesmo nome da profile
declaração configurada para acesso IKE no nível de [edit access]
hierarquia. Você pode consultar apenas um perfil de acesso em cada conjunto de serviços. Esse perfil é usado para negociar associações de segurança IKE e IPsec apenas com pares dinâmicos.
Se você configurar um perfil de acesso IKE em um conjunto de serviços, nenhum outro conjunto de serviços poderá compartilhar o mesmo local-gateway
endereço.
Além disso, você deve configurar um conjunto de serviços separado para cada VRF. Todas as interfaces mencionadas pela ipsec-inside-interface
declaração dentro de um conjunto de serviços devem pertencer ao mesmo VRF.
Configuração de autoridades de certificação para conjuntos de serviços IPsec
Você pode especificar uma ou mais autoridades de certificação confiáveis, incluindo a trusted-ca
declaração:
trusted-ca [ ca-profile-names ];
Quando você configura certificados digitais de infraestrutura de chave pública (PKI) na configuração de IPsec, cada conjunto de serviços pode ter seu próprio conjunto de autoridades de certificação confiáveis. Os nomes que você especifica para a trusted-ca
declaração devem corresponder aos perfis configurados no nível de [edit security pki]
hierarquia; para obter mais informações, consulte a Biblioteca de administração do Junos OS para dispositivos de roteamento. Para obter mais informações sobre a configuração do certificado digital IPsec, consulte Configurando as regras do IPsec.
A partir do Junos OS Release 18.2R1, você pode configurar o roteador da Série MX com MS-MPCs ou MS-MICs para enviar apenas o certificado de entidade final para autenticação de IKE baseada em certificados em vez da cadeia completa de certificados. Isso evita a fragmentação do IKE. Para configurar este recurso, inclua a no-certificate-chain-in-ike
declaração:
[edit services service-set service-set-name ipsec-vpn-options] no-certificate-chain-in-ike;
Configuração ou desativação do serviço antireplay
Você pode incluir a anti-replay-window-size
declaração no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia para especificar o tamanho da janela antireplay.
anti-replay-window-size bits;
Essa declaração é útil para túneis dinâmicos de endpoint para os quais você não pode configurar a anti-replay-window-size
declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia.
Para túneis IPsec estáticos, esta declaração define o tamanho da janela antireplay para todos os túneis estáticos dentro deste conjunto de serviços. Se um túnel em particular precisar de um valor específico para o tamanho da janela antireplay, defina a anti-replay-window-size
declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia. Se a verificação antireplay precisar ser desabilitada para um túnel específico neste conjunto de serviços, defina a no-anti-replay
declaração no nível hierárquico [edit services ipsec-vpn rule rule-name term term-name then]
.
As anti-replay-window-size
configurações e no-anti-replay
as configurações no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia se sobrepõem às configurações especificadas no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia.
Você também pode incluir a no-anti-replay
declaração no nível de hierarquia para desativar o [edit services service-set service-set-name ipsec-vpn-options]
serviço antireplay IPsec. Isso ocasionalmente causa problemas de interoperabilidade para as associações de segurança.
no-anti-replay;
Essa declaração é útil para túneis dinâmicos de endpoint para os quais você não pode configurar a no-anti-reply
declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia.
Para túneis IPsec estáticos, esta declaração desativa a verificação antireplay de todos os túneis dentro deste conjunto de serviços. Se a verificação antireplay precisar ser habilitada para um túnel específico, então defina a anti-replay-window-size
declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia.
Definir as declarações e as anti-replay-window-size
declarações no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia substitui as configurações especificadas no nível de [edit services service-set service-set-name ipsec-vpn-options]
no-anti-replay
hierarquia.
Limpar a broca de não fragmentar
Você pode incluir a clear-dont-fragment-bit
declaração no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia para limpar o bit de não fragmentar (DF) em todos os pacotes ip versão 4 (IPv4) que entram no túnel IPsec. Se o tamanho do pacote encapsulado exceder a unidade de transmissão máxima de túnel (MTU), o pacote será fragmentado antes do encapsulamento.
clear-dont-fragment-bit;
Essa declaração é útil para túneis dinâmicos de endpoint para os quais você não pode configurar a clear-dont-fragment-bit
declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia.
Para túneis IPsec estáticos, a configuração desta declaração libera o bit DF em pacotes que entram em todos os túneis estáticos dentro deste conjunto de serviços. Se você quiser limpar a bit DF em pacotes que entram em um túnel específico, defina a clear-dont-fragment-bit
declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia.
A partir do Junos OS Release 14.1, em pacotes que são transmitidos por túneis IPSec dinâmicos de endpoint, você pode habilitar o valor definido no bit DF do pacote que entra no túnel a ser copiado apenas para o cabeçalho externo do pacote IPsec e não causar nenhuma modificação na bit DF no cabeçalho interno do pacote IPsec. Se o tamanho do pacote exceder o valor da unidade de transmissão máxima (MTU) do túnel, o pacote será fragmentado antes do encapsulamento. Para túneis IPsec, o valor de MTU padrão é de 1500, independentemente da configuração mtu da interface. Para copiar o valor de bit DF apenas para o cabeçalho externo e não modificar o cabeçalho interno, use a copy-dont-fragment-bit
declaração no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia. Você também pode configurar o bit DF a ser definido apenas no cabeçalho IPv4 externo do pacote IPsec e não ser definido no cabeçalho IPv4 interno. Para configurar a bit DF apenas no cabeçalho externo do pacote IPsec e deixar o cabeçalho interno sem sermodificado, inclua a set-dont-fragment-bit
declaração no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia. Essas configurações se aplicam a túneis dinâmicos de endpoint e não a túneis estáticos, para os quais você precisa incluir as declarações e set-dont-fragment-bit
declarações copy-dont-fragment-bit
no [edit services ipsec-vpn rule rule-name term term-name then]
nível hierárquico para limpar a bit DF nos pacotes IPv4 que entram no túnel estático. Essas funcionalidades são suportadas em roteadores da Série MX com MS-MICs e MS-MPCs.
Configuração de tunelamento de modo passivo
Você pode incluir a passive-mode-tunneling
declaração no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia para habilitar o conjunto de serviços a pacotes malformados em túneis.
[edit services service-set service-set-name ipsec-vpn-options] passive-mode-tunneling;
Essa funcionalidade ignora as verificações de IP ativas, como versão, TTL, protocolo, opções, endereço e outras verificações de ataque de terra, e tunela os pacotes como está. Se essa declaração não estiver configurada, os pacotes que falham nas verificações de IP serão descartados no PIC. No modo passivo, o pacote interno não é tocado; um erro de ICMP não é gerado se o tamanho do pacote exceder o valor do MTU do túnel.
O túnel IPsec não é tratado como um próximo salto e o TTL não é decremented. Como um erro de ICMP não é gerado se o tamanho do pacote exceder o valor do MTU do túnel, o pacote é tunelado mesmo que cruze o limiar de MTU do túnel.
Essa funcionalidade é semelhante à fornecida pela no-ipsec-tunnel-in-traceroute
declaração, descrita no rastreamento do Junos VPN Site Secure Operations. A partir do Junos OS Release 14.2, o tunelamento de modo passivo é suportado em MS-MICs e MS-MPCs.
A partir do Junos OS Release 14.2, a opção header-integrity-check
que é suportada em MS-MICs e MS-MPCs para verificar o cabeçalho do pacote em caso de anomalias em informações de IP, TCP, UDP e ICMP e sinalizar tais anomalias e erros tem uma funcionalidade que é oposta à funcionalidade causada pelo tunelamento de modo passivo. Se você configurar a header-integrity-check
declaração e a passive-mode tunneling
declaração sobre MS-MICs e MS-MPCs e tentar cometer tal configuração, um erro será exibido durante o commit.
A funcionalidade de tunelamento de modo passivo (incluindo a passive-mode-tunnelin
declaração no nível da [edit services service-set service-set-name ipsec-vpn-options]
hierarquia) é um superconjunto da capacidade de desativar o endpoint do túnel IPsec na saída de traceroute (incluindo no-ipsec-tunnel-in-traceroute
declaração no nível de [edit services ipsec-vpn]
hierarquia). O tunelamento de modo passivo também ignora as verificações de IP ativas e a verificação de MTU de túnel, além de não tratar um túnel IPsec como um próximo salto conforme configurado pela no-ipsec-tunnel-in-traceroute
declaração.
Configuração do valor do MTU do túnel
Você pode incluir a tunnel-mtu
declaração no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia para definir o valor máximo da unidade de transmissão (MTU) para túneis IPsec.
tunnel-mtu bytes;
Essa declaração é útil para túneis dinâmicos de endpoint para os quais você não pode configurar a tunnel-mtu
declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia.
Para túneis IPsec estáticos, esta declaração define o valor do MTU do túnel para todos os túneis dentro deste conjunto de serviços. Se você precisar de um valor específico para um túnel específico, então defina a tunnel-mtu
declaração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia.
A tunnel-mtu
configuração no nível de [edit services ipsec-vpn rule rule-name term term-name then]
hierarquia substitui o valor especificado no nível de [edit services service-set service-set-name ipsec-vpn-options]
hierarquia.
Configuração do encaminhamento multicaminho IPsec com encapsulamento de UDP
A partir do Junos OS Release 16.1, você pode habilitar o encaminhamento multicaminho do tráfego IPsec configurando o encapsulamento de UDP no conjunto de serviços, o que adiciona um cabeçalho UDP ao encapsulamento IPsec de pacotes. Isso resulta no encaminhamento do tráfego IPsec em vários caminhos, aumentando a taxa de transferência do tráfego IPsec. Se você não habilitar o encapsulamento de UDP, todo o tráfego IPsec segue um único caminho de encaminhamento.
Quando o NAT-T é detectado, ocorre apenas o encapsulamento NAT-T UDP, não o encapsulamento de UDP para pacotes IPsec.
Para habilitar o encapsulamento de UDP:
Habilite o encapsulamento do UDP.
[edit services service-set service-set-name ipsec-vpn-options] user@host set udp-encapsulation
(Opcional) Especifique o número da porta de destino do UDP.
[edit services service-set service-set-name ipsec-vpn-options udp-encapsulation] user@host set udp-dest-port destination-port
Use um número de porta de destino de 1025 a 65536, mas não use 4500. Se você não especificar um número de porta, a porta de destino padrão é 4565.
Veja também
Solicitação e instalação de certificados digitais em seu roteador
Um certificado digital é um meio eletrônico para verificar sua identidade por meio de um terceiro confiável, conhecido como autoridade de certificado (CA). Alternativamente, você pode usar um certificado auto-assinado para atestar sua identidade. O servidor ca que você usa pode ser propriedade e operado por uma CA independente ou por sua própria organização, nesse caso você se torna seu próprio CA. Se você usa um CA independente, deve entrar em contato com eles para os endereços de seus servidores ca e lista de revogação de certificados (CRL) (para obter certificados e CRLs) e para as informações que eles exigem ao enviar solicitações de certificados pessoais. Quando você é seu próprio CA, você mesmo determina essas informações. A infraestrutura de chave pública (PKI) oferece uma infraestrutura para o gerenciamento de certificados digitais.
Solicitação de um certificado digital — Processo manual
Para obter certificados digitais manualmente, você deve configurar um perfil de CA, gerar um par de chaves públicos privados, criar um certificado local e carregar os certificados no roteador. Após o carregamento dos certificados, eles podem ser mencionados em sua configuração IPsec-VPN.
Este procedimento mostra como você pode configurar um perfil de CA:
Exemplo: Configuração de SA dinâmica do IKE com certificados digitais
Este exemplo mostra como configurar a SA dinâmica do IKE com certificados digitais e contém as seguintes seções.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Quatro roteadores série M, MX ou Série T com interfaces de multisserviços instaladas neles.
Junos OS Release 9.4 ou posterior.
Antes de configurar este exemplo, você deve solicitar um certificado ca, criar um certificado local e carregar esses certificados digitais no roteador. Para obter mais informações, veja solicitação e instalação de certificados digitais em seu roteador
Visão geral
Uma associação de segurança (SA) é uma conexão simples que permite que dois hosts se comuniquem com segurança usando o IPsec. Este exemplo explica a configuração dinâmica de SA do IKE com certificados digitais. O uso de certificados digitais oferece segurança adicional ao seu túnel IKE. Usando valores padrão no PIC de serviços, você não precisa configurar uma proposta de IPsec ou uma política de IPsec. No entanto, você deve configurar uma proposta de IKE que especifica o uso de certificados digitais, fazer referência à proposta do IKE e ao certificado local em uma política de IKE e aplicar o perfil da CA ao conjunto de serviços.
A Figura 1 mostra uma topologia IPsec contendo um grupo de quatro roteadores. Essa configuração exige que os roteadores 2 e 3 estabeleçam um túnel IPsec baseado em IKE usando certificados digitais no lugar de chaves pré-compartilhadas. Os roteadores 1 e 4 fornecem conectividade básica e são usados para verificar se o túnel IPsec está operacional.
Topologia
Configuração
Para configurar a SA dinâmica do IKE com certificados digitais, execute essas tarefas:
Os tipos de interface mostrados neste exemplo são apenas para finalidade indicativa. Por exemplo, você pode usar so-
interfaces em vez de ge-
sp-
ms-
.
- Configuração do roteador 1
- Configuração do roteador 2
- Configuração do roteador 3
- Configuração do roteador 4
Configuração do roteador 1
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI, no nível de hierarquia [edit] do Roteador 1.
set interfaces ge-0/0/0 description "to R2 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set routing-options router-id 10.0.0.1 set protocols ospf area 0.0.0.0 interface ge-0/0/0 set protocols ospf area 0.0.0.0 interface lo0.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o Roteador 1 para conectividade OSPF com o Roteador 2:
Configure uma interface Ethernet e a interface de loopback.
[edit interfaces] user@router1# set ge-0/0/0 description "to R2 ge-0/0/0" user@router1# set ge-0/0/0 unit 0 family inet address 10.1.12.2/30 user@router1# set lo0 unit 0 family inet address 10.0.0.1/32
Especifique a área de OSPF e associe as interfaces à área de OSPF.
[edit protocols] user@router1# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router1# set ospf area 0.0.0.0 interface lo0.0
Configure a ID do roteador.
[edit routing-options] user@router1# set router-id 10.0.0.1
Confirmar a configuração.
[edit] user@router1# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces
, show protocols ospf
e show routing-options
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@router1# show interfaces interfaces { ge-0/0/0 { description "To R2 ge-0/0/0"; unit 0 { family inet { address 10.1.12.2/30; } } } lo0 { unit 0 { family inet { address 10.0.0.1/32; } } } }
user@router1# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; } } }
user@router1# show routing-options routing-options { router-id 10.0.0.1; }
Configuração do roteador 2
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos no CLI, no nível de hierarquia [edit] do Roteador 2.
set interfaces ge-0/0/0 description "to R1 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.1/30 set interfaces ge-0/0/1 description "to R3 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.1/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.2/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.2 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.2 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method rsa-signatures set services ipsec-vpn ike policy ike-digital-certificates proposals ike-demo-proposal set services ipsec-vpn ike policy ike-digital-certificates local-id fqdn router2.example.com set services ipsec-vpn ike policy ike-digital-certificates local-certificate local-entrust2 set services ipsec-vpn ike policy ike-digital-certificates remote-id fqdn router3.example.com set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services ipsec-vpn establish-tunnels immediately set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options trusted-ca entrust set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 set services service-set demo-service-set ipsec-vpn-rules rule-ike
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar a conectividade OSPF e os parâmetros de túnel IPsec no Roteador 2:
Configure propriedades de interface. Nesta etapa, você configura duas interfaces Ethernet (ge-1/0/0 e ge-1/0/1), a interface de loopback e uma interface de multisserviços (ms-1/2/0).
[edit interfaces] user@router2# set ge-0/0/0 description "to R1 ge-0/0/0" user@router2# set ge-0/0/0 unit 0 family inet address 10.1.12.1/30 user@router2# set ge-0/0/1 description "to R3 ge-0/0/1" user@router2# set ge-0/0/1 unit 0 family inet address 10.1.15.1/30 user@router2# set ms-1/2/0 services-options syslog host local services info user@router2# set ms-1/2/0 unit 0 family inet user@router2# set ms-1/2/0 unit 1 family inet user@router2# set ms-1/2/0 unit 1 service-domain inside user@router2# set ms-1/2/0 unit 2 family inet user@router2# set ms-1/2/0 unit 2 service-domain outside user@router2# set lo0 unit 0 family inet address 10.0.0.2/32
Especifique a área de OSPF e associe as interfaces à área de OSPF.
[edit protocols] user@router2# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router2# set ospf area 0.0.0.0 interface lo0.0 user@router2# set ospf area 0.0.0.0 interface ms-1/2/0.1
Configure a ID do roteador.
[edit routing-options] user@router2# set router-ID 10.0.0.2
Configure uma proposta e política de IKE. Para habilitar uma proposta de IKE para certificados digitais, inclua a
rsa-signatures
declaração no nível de[edit services ipsec-vpn ike proposal proposal-name authentication-method]
hierarquia. Para fazer referência ao certificado local na política de IKE, inclua alocal-certificate
declaração no nível de[edit services ipsec-vpn ike policy policy-name]
hierarquia. Para identificar o CA ou RA no conjunto de serviços, inclua atrusted-ca
declaração no nível de[edit services service-set service-set-name ipsec-vpn-options]
hierarquia.Nota:Para obter informações sobre a criação e instalação de certificados digitais, consulte Solicitação e instalação de certificados digitais em seu roteador
[edit services ipsec-vpn] user@router2# set ike proposal ike-demo-proposal authentication-method rsa-signatures user@router2# set ike policy ike-digital-certificates proposals ike-demo-proposal user@router2# set ike policy ike-digital-certificates local-id fqdn router2.example.com user@router2# set ike policy ike-digital-certificates local-certificate local-entrust2 user@router2# set ike policy ike-digital-certificates remote-id fqdn router3.example.com
Configure uma proposta e política de IPsec. Além disso, definir o
established-tunnels
botão paraimmediately
.[edit services ipsec-vpn] user@router2# set ipsec proposal ipsec-demo-proposal protocol esp user@router2# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router2# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router2# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router2# set ipsec proposals ipsec-demo-proposal user@router2# set establish-tunnels immediately
Configure uma regra de IPsec.
[edit services ipsec-vpn] user@router2# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router2# set rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates user@router2# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router2# set rule match-direction input
Configure um conjunto de serviços no estilo next-hop, especifique o endereço de gateway local e associe a regra de VPN IPsec com o conjunto de serviços.
[edit services] user@router2# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router2# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router2# set service-set demo-service-set ipsec-vpn-options trusted-ca entrust user@router2# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 user@router2# set service-set demo-service-set ipsec-vpn-rules rule-ike
Confirmar a configuração.
[edit] user@router2# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando noshow interfaces
, show protocols ospf
show routing-options
e show services
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração
user@router2# show interfaces interfaces { ge-0/0/0 { description "To R1 ge-0/0/0"; unit 0 { family inet { address 10.1.12.1/30; } } } ge-0/0/1 { description "To R3 ge-0/0/1"; unit 0 { family inet { address 10.1.15.1/30; } } } ms-1/2/0 { services-options { syslog { host local { services info; } } } unit 0 { family inet; } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } lo0 { unit 0 { family inet { address 10.0.0.2/32; } } } }
user@router2# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; interface ms-1/2/0.1; } } }
user@router2# show routing-options routing-options { router-id 10.0.0.2; }
user@router2# show services services { ipsec-vpn { rule rule-ike { term term-ike { then { remote-gateway 10.1.15.2; dynamic { ike-policy ike-digital-certificates; ipsec-policy ipsec-demo-policy } } } match-direction input; } ike { proposal ike-demo-proposal { authentication-method rsa-signatures; } policy ike-digital-certificates { proposals ike-demo-proposal; local-id fqdn router2.example.com; local-certificate local-entrust2; remote-id fqdn router3.example.com; } } ipsec { proposal ipsec-demo-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy demo-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-demo-proposal; } establish-tunnels immediately; } service-set service-set-dynamic-demo-service-set { next-hop-service { inside-service-interface ms-1/2/0.1; outside-service-interface ms-1/2/0.2; } ipsec-vpn-options { trusted-ca entrust; local-gateway 10.1.15.1; } ipsec-vpn-rules rule-ike; } } }
Configuração do roteador 3
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI, no nível de hierarquia [edit] do Roteador 3.
set interfaces ge-0/0/0 description "to R4 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.1/30 set interfaces ge-0/0/1 description "to R2 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.2/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.3/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.3 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.1 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method rsa-signatures set services ipsec-vpn ike policy ike-digital-certificates proposals ike-demo-proposal set services ipsec-vpn ike policy ike-digital-certificates local-id fqdn router3.example.com set services ipsec-vpn ike policy ike-digital-certificates local-certificate local-entrust3 set services ipsec-vpn ike policy ike-digital-certificates remote-id fqdn router2.example.com set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services ipsec-vpn establish-tunnels immediately set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options trusted-ca entrust set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 set services service-set demo-service-set ipsec-vpn-rules rule-ike
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Se os pares IPsec não tiverem uma configuração simétrica contendo todos os componentes necessários, eles não poderão estabelecer uma relação de peering. Você precisa solicitar um certificado de CA, criar um certificado local, carregar esses certificados digitais no roteador e referenciá-los em sua configuração IPsec. Para obter informações sobre certificação digital, consulte Solicitação e instalação de certificados digitais em seu roteador
Para configurar a conectividade OSPF e os parâmetros de túnel IPsec no Roteador 3:
Configure propriedades de interface. Nesta etapa, você configura duas interfaces Ethernet (ge-1/0/0 e ge-1/0/1), a interface de loopback e uma interface de multisserviços (ms-1/2/0).
[edit interfaces] user@router3# set ge-0/0/0 description "to R4 ge-0/0/0" user@router3# set ge-0/0/0 unit 0 family inet address 10.1.56.1/30 user@router3# set ge-0/0/1 description "to R2 ge-0/0/1" user@router3# set ge-0/0/1 unit 0 family inet address 10.1.15.2/30 user@router3# set ms-1/2/0 services-options syslog host local services info user@router3# set ms-1/2/0 unit 0 family inet user@router3# set ms-1/2/0 unit 1 family inet user@router3# set ms-1/2/0 unit 1 service-domain inside user@router3# set ms-1/2/0 unit 2 family inet user@router3# set ms-1/2/0 unit 2 service-domain outside user@router3# set lo0 unit 0 family inet address 10.0.0.3/32
Especifique a área de OSPF e associe as interfaces à área de OSPF.
[edit protocols] user@router3# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router3# set ospf area 0.0.0.0 interface lo0.0 user@router3# set ospf area 0.0.0.0 interface ms-1/2/0.1
Configure uma ID do roteador.
[edit routing-options] user@router3# set router-id 10.0.0.3
Configure uma proposta e política de IKE. Para habilitar uma proposta de IKE para certificados digitais, inclua a
rsa-signatures
declaração no nível de[edit services ipsec-vpn ike proposal proposal-name authentication-method]
hierarquia. Para fazer referência ao certificado local na política de IKE, inclua alocal-certificate
declaração no nível de[edit services ipsec-vpn ike policy policy-name]
hierarquia. Para identificar o CA ou RA no conjunto de serviços, inclua atrusted-ca
declaração no nível de[edit services service-set service-set-name ipsec-vpn-options]
hierarquia.Nota:Para obter informações sobre a criação e instalação de certificados digitais, consulte Solicitação e instalação de certificados digitais em seu roteador
[edit services ipsec-vpn] user@router3# set ike proposal ike-demo-proposal authentication-method rsa-signatures user@router3# set ike policy ike-digital-certificates proposals ike-demo-proposal user@router3# set ike policy ike-digital-certificates local-id fqdn router2.example.com user@router3# set ike policy ike-digital-certificates local-certificate local-entrust2 user@router3# set ike policy ike-digital-certificates remote-id fqdn router3.example.com
Configure uma proposta de IPsec. Além disso, definir o
established-tunnels
botão paraimmediately
.[edit services ipsec-vpn] user@router3# set ipsec proposal ipsec-demo-proposal protocol esp user@router3# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router3# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router3# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router3# set ipsec proposals ipsec-demo-proposal user@router3# set establish-tunnels immediately
Configure uma regra de IPsec.
[edit services ipsec-vpn] user@router3# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router3# set rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates user@router3# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router3# set rule match-direction input
Configure um conjunto de serviços no estilo next-hop, especifique o endereço de gateway local e associe a regra de VPN IPsec com o conjunto de serviços.
[edit services] user@router3# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router3# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router3# set service-set demo-service-set ipsec-vpn-options trusted-ca entrust user@router3# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 user@router3# set service-set demo-service-set ipsec-vpn-rules rule-ike
Confirmar a configuração.
[edit] user@router3# commit
Resultados
A partir do modo de configuração, confirme sua configuração entrando noshow interfaces
, show protocols ospf
show routing-options
e show services
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração
user@router3# show interfaces interfaces { ge-0/0/0 { description "To R4 ge-0/0/0"; unit 0 { family inet { address 10.1.56.1/30; } } } ge-0/0/1 { description "To R2 ge-0/0/1"; unit 0 { family inet { address 10.1.15.2/30; } } } ms-1/2/0 { services-options { syslog { host local { services info; } } } unit 0 { family inet { } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } lo0 { unit 0 { family inet { address 10.0.0.3/32; } } } } }
user@router3# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; interface ms-1/2/0.1; } } }
user@router3# show routing-options routing-options { router-id 10.0.0.3; }
user@router3# show services services { ipsec-vpn { rule rule-ike { term term-ike { then { remote-gateway 10.1.15.1; dynamic { ike-policy ike-digital-certificates; ipsec-policy ipsec-demo-policy } } } match-direction input; } ike { proposal ike-demo-proposal { authentication-method rsa-signatures; } policy ike-digital-certificates { proposals ike-demo-proposal; local-id fqdn router3.example.com; local-certificate local-entrust3; remote-id fqdn router2.example.com; } } ipsec { proposal ipsec-demo-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy demo-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-demo-proposal; } establish-tunnels immediately; } service-set service-set-dynamic-demo-service-set { next-hop-service { inside-service-interface ms-1/2/0.1; outside-service-interface ms-1/2/0.2; } ipsec-vpn-options { trusted-ca entrust; local-gateway 10.1.15.2; } ipsec-vpn-rules rule-ike; } } }
Configuração do roteador 4
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI, no nível de hierarquia [edit] do Roteador 4.
set interfaces ge-0/0/0 description "to R3 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.4/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set routing-options router-id 10.0.0.4
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar a conectividade OSPF com o Roteador 4
Configure as interfaces. Nesta etapa, você configura uma interface Ethernet (ge-1/0/1) e a interface de loopback.
[edit interfaces] user@router4# set ge-0/0/0 description "to R3 ge-0/0/0" user@router4# set ge-0/0/0 unit 0 family inet address 10.1.56.2/30 user@router4# set lo0 unit 0 family inet address 10.0.0.4/32
Especifique a área de OSPF e associe as interfaces à área de OSPF.
[edit protocols] user@router4# set ospf area 0.0.0.0 interface ge-0/0/0 user@router4# set ospf area 0.0.0.0 interface lo0.0
Configure a ID do roteador.
[edit routing-options] user@router4# set router-id 10.0.0.4
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces
, show protocols ospf
e show routing-options
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração
user@router4# show interfaces interfaces { ge-0/0/0 { description "To R3 ge-0/0/0"; unit 0 { family inet { address 10.1.56.2/30; } } } lo0 { unit 0 { family inet { address 10.0.0.4/32; } } } }
user@router4# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; } } }
user@router4# show routing-options routing-options { router-id 10.0.0.4; }
Verificação
- Verificando seu trabalho no roteador 1
- Verificando seu trabalho no roteador 2
- Verificando seu trabalho no roteador 3
- Verificando seu trabalho no roteador 4
Verificando seu trabalho no roteador 1
Propósito
No Roteador 1, verifique o comando de ping para a interface de 0/0/0 no Roteador 4 para enviar tráfego através do túnel IPsec.
Ação
A partir do modo operacional, entre ping 10.1.56.2
.
user@router1>ping 10.1.56.2 PING 10.1.56.2 (10.1.56.2): 56 data bytes 64 bytes from 10.1.56.2: icmp_seq=0 ttl=254 time=1.351 ms 64 bytes from 10.1.56.2: icmp_seq=1 ttl=254 time=1.187 ms 64 bytes from 10.1.56.2: icmp_seq=2 ttl=254 time=1.172 ms 64 bytes from 10.1.56.2: icmp_seq=3 ttl=254 time=1.154 ms 64 bytes from 10.1.56.2: icmp_seq=4 ttl=254 time=1.156 ms ^C --- 10.1.56.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.154/1.204/1.351/0.074 ms
Se você pingar o endereço loopback do Roteador 4, a operação terá sucesso porque o endereço faz parte da rede OSPF configurada no Roteador 4.
user@router1>ping 10.0.0.4 PING 10.0.0.4 (10.0.0.4): 56 data bytes 64 bytes from 10.0.0.4: icmp_seq=0 ttl=62 time=1.318 ms 64 bytes from 10.0.0.4: icmp_seq=1 ttl=62 time=1.084 ms 64 bytes from 10.0.0.4: icmp_seq=2 ttl=62 time=3.260 ms ^C --- 10.0.0.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.084/1.887/3.260/0.975 ms
Verificando seu trabalho no roteador 2
Propósito
Para verificar se o tráfego combinado está sendo desviado para o túnel IPsec bidirecional, veja as estatísticas do IPsec:
Ação
A partir do modo operacional, entre no show services ipsec-vpn ipsec statistics
.
user@router2>show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-dynamic-demo-service-set ESP Statistics: Encrypted bytes: 162056 Decrypted bytes: 161896 Encrypted packets: 2215 Decrypted packets: 2216 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Para verificar se a negociação da SA IKE é bem-sucedida, emita o show services ipsec-vpn ike security-associations comando:
A partir do modo operacional, entre no show services ipsec-vpn ike security-associations
user@router2> show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.2 Matured d82610c59114fd37 ec4391f76783ef28 Main
Para verificar se a associação de segurança IPsec está ativa, emita o show services ipsec-vpn ipsec security-associations detail comando. Observe que a SA contém as configurações padrão inerentes ao PIC de serviços, como ESP para o protocolo e HMAC-SHA1-96 para o algoritmo de autenticação.
A partir do modo operacional, entre no show services ipsec-vpn ipsec security-associations detail
user@router2> show services ipsec-vpn ipsec security-associations detail Service set: service-set-dynamic-demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2 IPsec inside interface: sp-1/2/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Direction: inbound, SPI: 857451461, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 9052 seconds Hard lifetime: Expires in 9187 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 1272330309, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 9052 seconds Hard lifetime: Expires in 9187 seconds Anti-replay service: Enabled, Replay window size: 64
Para exibir os certificados digitais usados para estabelecer o túnel IPsec, emita o comando de certificados ipsec-vpn dos serviços de exibição:
A partir do modo operacional, entre no show services ipsec-vpn certificates
user@router2> show services ipsec-vpn certificates Service set: service-set-dynamic-demo-service-set, Total entries: 3 Certificate cache entry: 3 Flags: Non-root Trusted Issued to: router3.example.com, Issued by: juniper Alternate subject: router3.example.com Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Certificate cache entry: 2 Flags: Non-root Trusted Issued to: router2.example.com, Issued by: juniper Alternate subject: router2.example.com Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Certificate cache entry: 1 Flags: Root Trusted Issued to: juniper, Issued by: juniper Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT
Para exibir o certificado ca, emita o comando de detalhe do certificado pki ca de segurança de exibição. Observe que existem três certificados separados: um para assinatura de certificados, um para cercamento de chave e um para assinatura digital da CA.
A partir do modo operacional, entre no show security pki ca-certificate detail
user@router2> show security pki ca-certificate detail Certificate identifier: entrust Certificate version: 3 Serial number: 4355 9235 Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT Public key algorithm: rsaEncryption(1024 bits) cb:9e:2d:c0:70:f8:ea:3c:f2:b5:f0:02:48:87:dc:68:99:a3:57:4f 0e:b9:98:0b:95:47:0d:1f:97:7c:53:17:dd:1a:f8:da:e5:08:d1:1c 78:68:1f:2f:72:9f:a2:cf:81:e3:ce:c5:56:89:ce:f0:97:93:fa:36 19:3e:18:7d:8c:9d:21:fe:1f:c3:87:8d:b3:5d:f3:03:66:9d:16:a7 bf:18:3f:f0:7a:80:f0:62:50:43:83:4f:0e:d7:c6:42:48:c0:8a:b2 c7:46:30:38:df:9b:dc:bc:b5:08:7a:f3:cd:64:db:2b:71:67:fe:d8 04:47:08:07:de:17:23:13 Signature algorithm: sha1WithRSAEncryption Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 (sha1) 71:6f:6a:76:17:9b:d6:2a:e7:5a:72:97:82:6d:26:86 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: CRL signing, Certificate signing Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925c Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) c0:a4:21:32:95:0a:cd:ec:12:03:d1:a2:89:71:8e:ce:4e:a6:f9:2f 1a:9a:13:8c:f6:a0:3d:c9:bd:9d:c2:a0:41:77:99:1b:1e:ed:5b:80 34:46:f8:5b:28:34:38:2e:91:7d:4e:ad:14:86:78:67:e7:02:1d:2e 19:11:b7:fa:0d:ba:64:20:e1:28:4e:3e:bb:6e:64:dc:cd:b1:b4:7a ca:8f:47:dd:40:69:c2:35:95:ce:b8:85:56:d7:0f:2d:04:4d:5d:d8 42:e1:4f:6b:bf:38:c0:45:1e:9e:f0:b4:7f:74:6f:e9:70:fd:4a:78 da:eb:10:27:bd:46:34:33 Signature algorithm: sha1WithRSAEncryption Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 (sha1) 23:79:40:c9:6d:a6:f0:ca:e0:13:30:d4:29:6f:86:79 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Key encipherment Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925b Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) ea:75:c4:f3:58:08:ea:65:5c:7e:b3:de:63:0a:cf:cf:ec:9a:82:e2 d7:e8:b9:2f:bd:4b:cd:86:2f:f1:dd:d8:a2:95:af:ab:51:a5:49:4e 00:10:c6:25:ff:b5:49:6a:99:64:74:69:e5:8c:23:5b:b4:70:62:8e e4:f9:a2:28:d4:54:e2:0b:1f:50:a2:92:cf:6c:8f:ae:10:d4:69:3c 90:e2:1f:04:ea:ac:05:9b:3a:93:74:d0:59:24:e9:d2:9d:c2:ef:22 b9:32:c7:2c:29:4f:91:cb:5a:26:fe:1d:c0:36:dc:f4:9c:8b:f5:26 af:44:bf:53:aa:d4:5f:67 Signature algorithm: sha1WithRSAEncryption Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f (sha1) ee:cc:c7:f4:5d:ac:65:33:0a:55:db:59:72:2c:dd:16 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Digital signature
Para exibir a solicitação de certificado local, emita o comando de solicitação de certificado pki de segurança de exibição:
A partir do modo operacional, entre no show security pki certificate-request
user@router2> show security pki certificate-request Certificate identifier: local-entrust2 Issued to: router2.example.com Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
Para exibir o certificado local, emita o comando de certificado local pki de segurança de exibição:
A partir do modo operacional, entre no show security pki local-certificate
user@router2> show security pki local-certificate Certificate identifier: local-entrust2 Issued to: router2.example.com, Issued by: juniper Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
Verificando seu trabalho no roteador 3
Propósito
Para verificar se o tráfego combinado está sendo desviado para o túnel IPsec bidirecional, veja as estatísticas do IPsec:
Ação
A partir do modo operacional, entre no show services ipsec-vpn ipsec statistics
.
user@router3>show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-dynamic-demo-service-set ESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 162056 Encrypted packets: 2216 Decrypted packets: 2215 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Para verificar se a negociação do IKE SA é bem-sucedida, emita o comando ipsec-vpn ike security-associations. Para ter sucesso, o SA no Roteador 3 deve conter as mesmas configurações especificadas no Roteador 2.
A partir do modo operacional, entre no show services ipsec-vpn ike security-associations
.
user@router3>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.1 Matured d82610c59114fd37 ec4391f76783ef28 Main
Para verificar se o IPsec SA está ativo, emita o comando detalhado das associações de segurança ipsec-vpn ipsec. Para ter sucesso, o SA no Roteador 3 deve conter as mesmas configurações especificadas no Roteador 2.
A partir do modo operacional, entre no show services ipsec-vpn ipsec security-associations detail
.
user@router3>show services ipsec-vpn ipsec security-associations detail Service set: service-set-dynamic-demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1 IPsec inside interface: sp-1/2/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Direction: inbound, SPI: 1272330309, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 7219 seconds Hard lifetime: Expires in 7309 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 857451461, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 7219 seconds Hard lifetime: Expires in 7309 seconds Anti-replay service: Enabled, Replay window size: 64
Para exibir os certificados digitais usados para estabelecer o túnel IPsec, emita o comando de certificados ipsec-vpn dos serviços de exibição:
A partir do modo operacional, entre no show services ipsec-vpn certificates
.
user@router3>show services ipsec-vpn certificates Service set: service-set-dynamic-demo-service-set, Total entries: 3 Certificate cache entry: 3 Flags: Non-root Trusted Issued to: router3.example.com, Issued by: juniper Alternate subject: router3.example.com Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Certificate cache entry: 2 Flags: Non-root Trusted Issued to: router2.example.com, Issued by: juniper Alternate subject: router2.example.com Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Certificate cache entry: 1 Flags: Root Trusted Issued to: juniper, Issued by: juniper Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT
Para exibir o certificado ca, emita o comando de detalhe do certificado pki ca de segurança de exibição. Observe que existem três certificados separados: um para assinatura de certificados, um para cercamento de chave e um para assinatura digital da CA.
A partir do modo operacional, entre no show security pki ca-certificate detail
.
user@router3>show security pki ca-certificate detail Certificate identifier: entrust Certificate version: 3 Serial number: 4355 9235 Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT Public key algorithm: rsaEncryption(1024 bits) cb:9e:2d:c0:70:f8:ea:3c:f2:b5:f0:02:48:87:dc:68:99:a3:57:4f 0e:b9:98:0b:95:47:0d:1f:97:7c:53:17:dd:1a:f8:da:e5:08:d1:1c 78:68:1f:2f:72:9f:a2:cf:81:e3:ce:c5:56:89:ce:f0:97:93:fa:36 19:3e:18:7d:8c:9d:21:fe:1f:c3:87:8d:b3:5d:f3:03:66:9d:16:a7 bf:18:3f:f0:7a:80:f0:62:50:43:83:4f:0e:d7:c6:42:48:c0:8a:b2 c7:46:30:38:df:9b:dc:bc:b5:08:7a:f3:cd:64:db:2b:71:67:fe:d8 04:47:08:07:de:17:23:13 Signature algorithm: sha1WithRSAEncryption Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 (sha1) 71:6f:6a:76:17:9b:d6:2a:e7:5a:72:97:82:6d:26:86 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: CRL signing, Certificate signing Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925c Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) c0:a4:21:32:95:0a:cd:ec:12:03:d1:a2:89:71:8e:ce:4e:a6:f9:2f 1a:9a:13:8c:f6:a0:3d:c9:bd:9d:c2:a0:41:77:99:1b:1e:ed:5b:80 34:46:f8:5b:28:34:38:2e:91:7d:4e:ad:14:86:78:67:e7:02:1d:2e 19:11:b7:fa:0d:ba:64:20:e1:28:4e:3e:bb:6e:64:dc:cd:b1:b4:7a ca:8f:47:dd:40:69:c2:35:95:ce:b8:85:56:d7:0f:2d:04:4d:5d:d8 42:e1:4f:6b:bf:38:c0:45:1e:9e:f0:b4:7f:74:6f:e9:70:fd:4a:78 da:eb:10:27:bd:46:34:33 Signature algorithm: sha1WithRSAEncryption Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 (sha1) 23:79:40:c9:6d:a6:f0:ca:e0:13:30:d4:29:6f:86:79 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Key encipherment Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925b Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) ea:75:c4:f3:58:08:ea:65:5c:7e:b3:de:63:0a:cf:cf:ec:9a:82:e2 d7:e8:b9:2f:bd:4b:cd:86:2f:f1:dd:d8:a2:95:af:ab:51:a5:49:4e 00:10:c6:25:ff:b5:49:6a:99:64:74:69:e5:8c:23:5b:b4:70:62:8e e4:f9:a2:28:d4:54:e2:0b:1f:50:a2:92:cf:6c:8f:ae:10:d4:69:3c 90:e2:1f:04:ea:ac:05:9b:3a:93:74:d0:59:24:e9:d2:9d:c2:ef:22 b9:32:c7:2c:29:4f:91:cb:5a:26:fe:1d:c0:36:dc:f4:9c:8b:f5:26 af:44:bf:53:aa:d4:5f:67 Signature algorithm: sha1WithRSAEncryption Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f (sha1) ee:cc:c7:f4:5d:ac:65:33:0a:55:db:59:72:2c:dd:16 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Digital signature
Para exibir a solicitação de certificado local, emita o comando de solicitação de certificado pki de segurança de exibição:
A partir do modo operacional, entre no show security pki certificate-request
.
user@router3>show security pki certificate-request Certificate identifier: local-entrust3 Issued to: router3.example.com Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
Para exibir o certificado local, emita o comando de certificado local pki de segurança de exibição:
A partir do modo operacional, entre no show security pki local-certificate
.
user@router3>show security pki local-certificate Certificate identifier: local-entrust3 Issued to: router3.example.com, Issued by: juniper Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
Verificando seu trabalho no roteador 4
Propósito
No Roteador 4, emita um comando de ping para a interface de 0/0/0 no Roteador 1 para enviar tráfego através do túnel IPsec.
Ação
A partir do modo operacional, entre ping 10.1.12.2
.
user@router4>ping 10.1.12.2 PING 10.1.12.2 (10.1.12.2): 56 data bytes 64 bytes from 10.1.12.2: icmp_seq=0 ttl=254 time=1.350 ms 64 bytes from 10.1.12.2: icmp_seq=1 ttl=254 time=1.161 ms 64 bytes from 10.1.12.2: icmp_seq=2 ttl=254 time=1.124 ms 64 bytes from 10.1.12.2: icmp_seq=5 ttl=254 time=1.116 ms ^C --- 10.1.12.2 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.116/1.172/1.350/0.081 ms
A maneira final de confirmar que o tráfego viaja pelo túnel IPsec é emitindo o comando traceroute para a interface de 0/0/0 no Roteador 1. Observe que a interface física entre roteadores 2 e 3 não é mencionada no caminho; o tráfego entra no túnel IPsec através dos serviços adaptativos IPsec dentro da interface no Roteador 3, passa pela interface de loopback no Roteador 2 e termina na interface de 0/0/0 no Roteador 1.
A partir do modo operacional, entre no traceroute 10.1.12.2
.
user@router4>traceroute 10.1.12.2 traceroute to 10.1.12.2 (10.1.12.2), 30 hops max, 40 byte packets 1 10.1.15.2 (10.1.15.2) 0.987 ms 0.630 ms 0.563 ms 2 10.0.0.2 (10.0.0.2) 1.194 ms 1.058 ms 1.033 ms 3 10.1.12.2 (10.1.12.2) 1.073 ms 0.949 ms 0.932 ms
Configuração do Junos VPN Site Secure ou VPN IPSec
A VPN IPsec é suportada em todos os roteadores da Série MX com MS-MICs, MS-MPCs ou MS-DPCs.
Nos roteadores série M e T, a VPN IPsec tem suporte para multisserviços de 100 PICs, Multiservices 400 PICs e Multiservices 500 PICs.
MS-MICs e MS-MPCs contam com o suporte do Junos OS Release 13.2 e posteriores. MS-MICs e MS-MPCs oferecem suporte a todos os recursos que são suportados por MS-DPCs e MS-PICs, exceto pelo protocolo de cabeçalho de autenticação (ah), encapsulando o protocolo de carga de segurança (esp) e o protocolo bundle (ah e esp protocol) para uma associação de segurança dinâmica ou manual e serviço IPsec sem fluxo.
O nat traversal (NAT-T) é suportado para IKEv1 e IKEv2 a partir do Junos OS Release 17.4R1. O NAT-T é habilitado por padrão. Você pode especificar o encapsulamento e a descapsulação de UDP para pacotes IKE e ESP usando a configuração disable-natt
nos níveis de [edit services ipsec-vpn]
hierarquia.
Veja também
Exemplo: Configuração do junos VPN Site Secure no MS-MIC e MS-MPC
Você pode seguir o mesmo procedimento e usar a mesma configuração dada neste exemplo para configurar o Junos VPN Site Secure (anteriormente conhecido como recursos IPsec) em MS-MPCs.
Este exemplo contém as seguintes seções:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dois roteadores da Série MX com MS-MICs
Versão do Junos OS 13.2 ou posterior
Visão geral
O Junos OS Release 13.2 estende o suporte para o Junos VPN Site Secure (anteriormente conhecido como recursos IPsec) para os recém-introduzidos Multiservices MIC e MPC (MS-MIC e MS-MPC) nos roteadores da Série MX. Os pacotes de provedores de extensão do Junos OS vêm pré-instalados e pré-configurados no MS-MIC e MS-MPC.
Os seguintes recursos junos VPN Site Secure são suportados no MS-MIC e MS-MPC no lançamento 13.2:
Pontos finais dinâmicos (DEP)
Protocolo de encapsulamento do Security Payload (ESP)
A detecção de peer morto (DPD) dispara mensagens
Notificações de rollover de números de sequência
Túneis IPsec estáticos com conjuntos de serviços no estilo next-hop e estilo interface
No entanto, no Junos OS Release 13.2, o suporte junos VPN Site Secure no MS-MIC e MS-MPC é limitado ao tráfego IPv4. O tunelamento de módulo passivo não é suportado em MS-MICs e MS-MPCs.
A Figura 2 mostra a topologia do túnel vpn IPsec.
Este exemplo mostra a configuração de dois roteadores, o Roteador 1 e o Roteador 2, que têm um túnel VPN IPsec configurado entre eles.
Ao configurar os roteadores, observe os seguintes pontos:
O endereço IP que você configura para
source-address
o nível de[edit services ipsec-vpn rule name term term from]
hierarquia no Roteador 1 deve ser o mesmo que o endereço IP que você configura paradestination-address
sob a mesma hierarquia no Roteador 2, e vice-versa.O endereço IP do
remote-gateway
que você configura sob o nível de[edit services ipsec-vpn rule name term term then]
hierarquia deve combinar com o endereço IP dolocal-gateway
que você configura sob o[edit services service-set name ipsec-vpn-options]
nível de hierarquia do Roteador 2, e vice-versa.
Configuração
Esta seção contém:
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].
Configuração de interfaces no roteador 1
set interfaces ms-4/0/0 unit 0 family inet set interfaces ms-4/0/0 unit 1 family inet set interfaces ms-4/0/0 unit 1 family inet6 set interfaces ms-4/0/0 unit 1 service-domain inside set interfaces ms-4/0/0 unit 2 family inet set interfaces ms-4/0/0 unit 2 family inet6 set interfaces ms-4/0/0 unit 2 service-domain outside set interfaces xe-0/2/0 unit 0 family inet address 10.0.1.1/30
Configuração do serviço vpn IPsec no roteador 1
set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from source-address 172.16.0.0/16 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from destination-address 192.168.0.0/16 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then remote-gateway 10.0.1.2 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ike-policy ike_policy_ms_4_0_0 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_4_0_0 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then anti-replay-window-size 4096 set services ipsec-vpn rule vpn_rule_ms_4_0_01 match-direction input set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 proposals ipsec_proposal_ms_4_0_0 set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 dh-group group2 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 version 2 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 proposals ike_proposal_ms_4_0_0 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 pre-shared-key ascii-text secret-data
Configuração de um conjunto de serviços no roteador 1
set services service-set ipsec_ss_ms_4_0_01 next-hop-service inside-service-interface ms-4/0/0.1 set services service-set ipsec_ss_ms_4_0_01 next-hop-service outside-service-interface ms-4/0/0.2 set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-options local-gateway 10.0.1.1 set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-rules vpn_rule_ms_4_0_01
Configuração de opções de roteamento no roteador 1
set routing-options static route 192.168.0.0/16 next-hop ms-4/0/0.1
Configuração de interfaces no roteador 2
set interfaces ms-1/0/0 unit 0 family inet set interfaces ms-1/0/0 unit 1 family inet set interfaces ms-1/0/0 unit 1 family inet6 set interfaces ms-1/0/0 unit 1 service-domain inside set interfaces ms-1/0/0 unit 2 family inet set interfaces ms-1/0/0 unit 2 family inet6 set interfaces ms-1/0/0 unit 2 service-domain outside set interfaces ge-2/0/0 unit 0 family inet address 10.0.1.2/30
Configuração do serviço vpn IPsec no roteador 2
set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from source-address 192.168.0.0/16 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from destination-address 172.16.0.0/16 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then remote-gateway 10.0.1.1 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ike-policy ike_policy_ms_5_2_0 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_5_2_0 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then anti-replay-window-size 4096 set services ipsec-vpn rule vpn_rule_ms_5_2_01 match-direction input set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 proposals ipsec_proposal_ms_5_2_0 set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 dh-group group2 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 version 2 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 proposals ike_proposal_ms_5_2_0 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 pre-shared-key ascii-text secret-data set services ipsec-vpn establish-tunnels immediately
Configuração de um conjunto de serviços no roteador 2
set services service-set ipsec_ss_ms_5_2_01 next-hop-service inside-service-interface ms-1/0/0.1 set services service-set ipsec_ss_ms_5_2_01 next-hop-service outside-service-interface ms-1/0/0.2 set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-options local-gateway 10.0.1.2 set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-rules vpn_rule_ms_5_2_01
Configuração de opções de roteamento no roteador 2
set routing-options static route 172.16.0.0/16 next-hop ms-1/0/0.1
Configuração do roteador 1
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
A partir da versão 13.2, os pacotes de provedores de extensão do Junos OS vêm pré-instalados em MICs e MPCs de multisserviços (MS-MICs e MS-MPCs). A adaptive-services
configuração no nível de [edit chassis fpc number pic number]
hierarquia está pré-configurada nessas placas.
Configure as propriedades da interface, como família, domínio de serviços e unidade.
user@router1# set interfaces ms-4/0/0 unit 0 family inet user@router1# set interfaces ms-4/0/0 unit 1 family inet user@router1# set interfaces ms-4/0/0 unit 1 family inet6 user@router1# set interfaces ms-4/0/0 unit 1 service-domain inside user@router1# set interfaces ms-4/0/0 unit 2 family inet user@router1# set interfaces ms-4/0/0 unit 2 family inet6 user@router1# set interfaces ms-4/0/0 unit 2 service-domain outside user@router1# set interfaces xe-0/2/0 unit 0 family inet address 10.0.1.1/30
Configure propriedades IPsec, como endereço, gateway remoto, políticas, direção de correspondência, protocolo, tamanho da janela de repetição, detalhes de algoritmo, chaves de sigilo, proposta, método de autenticação, grupos e versão.
user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from source-address 172.16.0.0/16 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from destination-address 192.168.0.0/16 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then remote-gateway 10.0.1.2 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ike-policy ike_policy_ms_4_0_0 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_4_0_0 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then anti-replay-window-size 4096 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 match-direction input user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 protocol esp user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 authentication-algorithm hmac-sha1-96 user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 encryption-algorithm 3des-cbc user@router1# set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 perfect-forward-secrecy keys group2 user@router1# set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 proposals ipsec_proposal_ms_4_0_0 user@router1# set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 authentication-method pre-shared-keys user@router1# set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 dh-group group2 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 version 2 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 proposals ike_proposal_ms_4_0_0 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 pre-shared-key ascii-text secret-key
Configure um conjunto de serviços, as opções e regras de ipsec-vpn.
user@router1# set services service-set ipsec_ss_ms_4_0_01 next-hop-service inside-service-interface ms-4/0/0.1 user@router1# set services service-set ipsec_ss_ms_4_0_01 next-hop-service outside-service-interface ms-4/0/0.2 user@router1# set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-options local-gateway 10.0.1.1 user@router1# set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-rules vpn_rule_ms_4_0_01
Configure opções de roteamento estáticas de rota e próximo salto.
user@router1# set routing-options static route 192.168.0.0/16 next-hop ms-4/0/0.1
Resultados
A partir do modo de configuração do Roteador 1, confirme sua configuração entrando no show interfaces
, show services ipsec-vpn
e show services service-set
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@router1# show interfaces ms-4/0/0{ unit 0 { family inet; } unit 1 { family inet; family inet6; service-domain inside; } unit 2 { family inet; family inet6; service-domain outside; } } xe-0/2/0 { unit 0 { family inet { address 10.0.1.1/30; } } }
user@router1# show services ipsec-vpn rule vpn_rule_ms_4_0_01 { term term11 { from { source-address { 172.16.0.0/16; } destination-address { 192.168.0.0/16; } } then { remote-gateway 10.0.1.2; dynamic { ike-policy ike_policy_ms_4_0_0; ipsec-policy ipsec_policy_ms_4_0_0; } anti-replay-window-size 4096; } } match-direction input; } ipsec { proposal ipsec_proposal_ms_4_0_0 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_policy_ms_4_0_0 { perfect-forward-secrecy { keys group2; } proposals ipsec_proposal_ms_4_0_0; } } ike { proposal ike_proposal_ms_4_0_0 { authentication-method pre-shared-keys; dh-group group2; } policy ike_policy_ms_4_0_0 { version 2; proposals ike_proposal_ms_4_0_0; pre-shared-key ascii-text "$9ABC123"; ## SECRET-DATA } }
user@router1# show services service-set ipsec_ss_ms_4_0_01 { next-hop-service { inside-service-interface ms-4/0/0.1; outside-service-interface ms-4/0/0.2; } ipsec-vpn-options { local-gateway 10.0.1.1; } ipsec-vpn-rules vpn_rule_ms_4_0_01; }
Configuração do roteador 2
Procedimento passo a passo
Configure as propriedades da interface, como família, domínio de serviços e unidade.
user@router2# set interfaces ms-1/0/0 services-options inactivity-non-tcp-timeout 600 user@router2# set interfaces ms-1/0/0 unit 0 family inet user@router2# set interfaces ms-1/0/0 unit 1 family inet user@router2# set interfaces ms-1/0/0 unit 1 family inet6 user@router2# set interfaces ms-1/0/0 unit 1 service-domain inside user@router2# set interfaces ms-1/0/0 unit 2 family inet user@router2# set interfaces ms-1/0/0 unit 2 family inet6 user@router2# set interfaces ms-1/0/0 unit 2 service-domain outside user@router2# set interfaces ge-2/0/0 unit 0 family inet adddress 10.0.1.2/30
Configure propriedades IPsec, como endereço, gateway remoto, políticas, direção de correspondência, protocolo, tamanho da janela de repetição, detalhes de algoritmo, chaves de sigilo, proposta, método de autenticação, grupos e versão.
user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from source-address 192.168.0.0/16 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from destination-address 172.16.0.0/16 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then remote-gateway 10.0.1.1 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ike-policy ike_policy_ms_5_2_0 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_5_2_0 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then anti-replay-window-size 4096 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 match-direction input user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 protocol esp user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 authentication-algorithm hmac-sha1-96 user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 encryption-algorithm 3des-cbc user@router2# set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 perfect-forward-secrecy keys group2 user@router2# set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 proposals ipsec_proposal_ms_5_2_0 user@router2# set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 authentication-method pre-shared-keys user@router2# set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 dh-group group2 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 version 2 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 proposals ike_proposal_ms_5_2_0 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 pre-shared-key ascii-text "$ABC123" user@router2# set services ipsec-vpn establish-tunnels immediately
Configure um conjunto de serviços, como o next-hop-service e as opções ipsec-vpn.
user@router2# set services service-set ipsec_ss_ms_5_2_01 next-hop-service inside-service-interface ms-1/0/0.1 user@router2# set services service-set ipsec_ss_ms_5_2_01 next-hop-service outside-service-interface ms-1/0/0.2 user@router2# set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-options local-gateway 10.0.1.2 user@router2# set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-rules vpn_rule_ms_5_2_01
Configure opções de roteamento estáticas e o próximo salto.
user@router2# set routing-options static route 172.16.0.0/16 next-hop ms-1/0/0.1
Resultados
A partir do modo de configuração do Roteador 2, confirme sua configuração entrando no show interfaces
, show services ipsec-vpn
e show services service-set
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@router2# show interfaces ms-1/0/0 { unit 0 { family inet; } unit 1 { family inet; family inet6; service-domain inside; } unit 2 { family inet; family inet6; service-domain outside; } } ge-2/0/0 { unit 0 { family inet { address 10.0.1.2/30; } } }
user@router2# show services ipsec-vpn rule vpn_rule_ms_5_2_01 { term term11 { from { source-address { 192.168.0.0/16; } destination-address { 172.16.0.0/16; } } then { remote-gateway 10.0.1.1; dynamic { ike-policy ike_policy_ms_5_2_0; ipsec-policy ipsec_policy_ms_5_2_0; } anti-replay-window-size 4096; } } match-direction input; } ipsec { proposal ipsec_proposal_ms_5_2_0 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_policy_ms_5_2_0 { perfect-forward-secrecy { keys group2; } proposals ipsec_proposal_ms_5_2_0; } } ike { proposal ike_proposal_ms_5_2_0 { authentication-method pre-shared-keys; dh-group group2; } policy ike_policy_ms_5_2_0 { version 2; proposals ike_proposal_ms_5_2_0; pre-shared-key ascii-text "$9ABC123"; ## SECRET-DATA } } establish-tunnels immediately;
user@router2# show services service-set ipsec_ss_ms_5_2_01 { next-hop-service { inside-service-interface ms-1/0/0.1; outside-service-interface ms-1/0/0.2; } ipsec-vpn-options { local-gateway 10.0.1.2; } ipsec-vpn-rules vpn_rule_ms_5_2_01; }
user@router2 #show routing-options static { route 172.16.0.0/16 next-hop ms-1/0/0.1; }
Verificação
- Verificação da criação de túneis
- Verificando o fluxo de tráfego pelo túnel DEP
- Verificando as associações de segurança IPsec para o conjunto de serviços
Verificação da criação de túneis
Propósito
Verifique se os end points dinâmicos foram criados.
Ação
Execute o seguinte comando no Roteador 1:
user@router1 >show services ipsec-vpn ipsec security-associations detail Service set: ipsec_ss_ms_4_0_01, IKE Routing-instance: default Rule: vpn_rule_ms_4_0_01, Term: term11, Tunnel index: 1 Local gateway: 10.0.1.1, Remote gateway: 10.0.1.2 IPSec inside interface: ms-4/0/0.1, Tunnel MTU: 1500 Local identity: ipv4_subnet(any:0,[0..7]=172.16.0.0/16) Remote identity: ipv4_subnet(any:0,[0..7]=192.168.0.0/16) Direction: inbound, SPI: 112014862, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 24556 seconds Hard lifetime: Expires in 25130 seconds Anti-replay service: Enabled, Replay window size: 4096 Direction: outbound, SPI: 1469281276, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 24556 seconds Hard lifetime: Expires in 25130 seconds Anti-replay service: Enabled, Replay window size: 4096
Significado
A saída mostra que os SAs IPSec estão no roteador com seu estado como instalado. O túnel IPSec está pronto para enviar tráfego pelo túnel.
Verificando o fluxo de tráfego pelo túnel DEP
Propósito
Verifique o fluxo de tráfego através do túnel DEP recém-criado.
Ação
Execute o seguinte comando no Roteador 2:
user@router2> show services ipsec-vpn ipsec statistics PIC: ms-1/0/0, Service set: ipsec_ss_ms_5_2_01 ESP Statistics: Encrypted bytes: 153328 Decrypted bytes: 131424 Encrypted packets: 2738 Decrypted packets: 2738 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0 ESP authentication failures: 0 ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Replay before window drops: 0, Replayed pkts: 0 IP integrity errors: 0, Exceeds tunnel MTU: 0 Rule lookup failures: 0, No SA errors: 0 Flow errors: 0, Misc errors: 0
Verificando as associações de segurança IPsec para o conjunto de serviços
Propósito
Verifique se as associações de segurança configuradas para o conjunto de serviços estão funcionando corretamente.
Ação
Execute o seguinte comando no Roteador 2:
user@router2> show services ipsec-vpn ipsec security-associations ipsec_ss_ms_5_2_01 Service set: ipsec_ss_ms_5_2_01, IKE Routing-instance: default Rule: vpn_rule_ms_5_2_01, Term: term11, Tunnel index: 1 Local gateway: 10.0.1.2., Remote gateway: 10.0.1.1 IPSec inside interface: ms-1/0/0.1, Tunnel MTU: 1500 Direction SPI AUX-SPI Mode Type Protocol inbound 1612447024 0 tunnel dynamic ESP outbound 1824720964 0 tunnel dynamic ESP
Exemplo: configuração de túneis IPsec atribuídos estaticamente em uma instância VRF
Este exemplo mostra como configurar um túnel IPsec atribuído estaticamente em uma instância VRF, e contém as seguintes seções:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Série M, Série MX ou roteador da Série T que está configurado como um roteador de borda de provedor.
Junos OS Release 9.4 e posterior.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes que você possa configurar esse recurso.
Visão geral
O Junos OS permite configurar túneis IPsec atribuídos estaticamente em instâncias de roteamento e encaminhamento virtual (VRF). A capacidade de configurar túneis IPsec em instâncias VRF melhora a segmentação e a segurança da rede. Você pode ter vários túneis de cliente configurados no mesmo roteador PE em instâncias VRF. Cada instância VRF atua como roteador lógico com uma tabela de roteamento exclusiva.
Configuração
Este exemplo mostra a configuração de um túnel IPsec em uma instância VRF em um roteador de borda de provedor e fornece instruções passo a passo para concluir a configuração necessária.
Esta seção contém:
Configuração do roteador de borda do provedor
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].
set interfaces ge-0/3/0 unit 0 family inet address 10.6.6.6/32 set interfaces ge-1/1/0 description "teller ge-0/1/0" set interfaces ge-1/1/0 unit 0 family inet address 10.21.1.1/16 set interfaces ms-1/2/0 unit 0 family inet address 10.7.7.7/32 set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set policy-options policy-statement vpn-export then community add vpn-community set policy-options policy-statement vpn-export then accept set policy-options policy-statement vpn-import term a from community vpn-community set policy-options policy-statement vpn-import term a then accept set policy-options community vpn-community members target:100:20 set routing-instances vrf instance-type vrf set routing-instances vrf interface ge-0/3/0.0 set routing-instances vrf interface ms-1/2/0.1 set routing-instances vrf route-distinguisher 192.168.0.1:1 set routing-instances vrf vrf-import vpn-import set routing-instances vrf vrf-export vpn-export set routing-instances vrf routing-options static route 10.0.0.0/0 next-hop ge-0/3/0.0 set routing-instances vrf routing-options static route 10.11.11.1/32 next-hop ge-0/3/0.0 set routing-instances vrf routing-options static route 10.8.8.1/32 next-hop ms-1/2/0.1 set services ipsec-vpn ipsec proposal demo_ipsec_proposal protocol esp set services ipsec-vpn ipsec proposal demo_ipsec_proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal demo_ipsec_proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy demo_ipsec_policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy demo_ipsec_policy proposals demo_ipsec_proposal set services ipsec-vpn ike proposal demo_ike_proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal demo_ike_proposal dh-group group2 set services ipsec-vpn ike policy demo_ike_policy proposals demo_ike_proposal set services ipsec-vpn ike policy demo_ike_policy pre-shared-key ascii-text juniperkey set services ipsec-vpn rule demo-rule term demo-term then remote-gateway 10.21.2.1 set services ipsec-vpn rule demo-rule term demo-term then dynamic ike-policy demo_ike_policy set services ipsec-vpn rule demo-rule match-direction input set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.21.1.1 set services service-set demo-service-set ipsec-vpn-rules demo-rule
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar um túnel IPsec atribuído estaticamente em uma instância VRF:
Configure as interfaces. Nesta etapa, você configura duas interfaces Ethernet (
ge
) e uma interface de serviços (ms-
) e também as propriedades de domínio de serviço para as interfaces lógicas da interface de serviços. Observe que a interface lógica que é marcada como a interface interna aplica o serviço configurado no tráfego, enquanto o que é marcado como a interface externa age como o ponto de saída para o tráfego no qual a interface interna aplicou o serviço.[edit interfaces] user@PE1# set ge-0/3/0 unit 0 family inet address 10.6.6.6/32 user@PE1# set ge-1/1/0 description "teller ge-0/1/0" user@PE1# set ge-1/1/0 unit 0 family inet address 10.21.1.1/16 user@PE1# set ms-1/2/0 unit 0 family inet address 10.7.7.7/32 user@PE1# set ms-1/2/0 unit 1 family inet user@PE1# set ms-1/2/0 unit 1 service-domain inside user@PE1# set ms-1/2/0 unit 2 family inet user@PE1# set ms-1/2/0 unit 2 service-domain outside
Configure uma política de roteamento para especificar critérios de importação e exportação de rotas para a instância VRF. As políticas de importação e exportação definidas nesta etapa são mencionadas a partir da configuração de instâncias de roteamento na próxima etapa.
[edit policy-options] user@PE1# set policy-statement vpn-export then community add vpn-community user@PE1# set policy-statement vpn-export then accept user@PE1# set policy-statement vpn-import term a from community vpn-community user@PE1# set policy-statement vpn-import term a then accept user@PE1# set community vpn-community members target:100:20
Configure uma instância de roteamento e especifique o tipo de instância de roteamento como
vrf
. Aplique as políticas de importação e exportação definidas na etapa anterior para a instância de roteamento e especifique uma rota estática para enviar o tráfego IPsec para a interface interna (ms-1/2/0.1
) configurada na primeira etapa.[edit routing-instance] user@PE1# set vrf instance-type vrf user@PE1# set vrf interface ge-0/3/0.0 user@PE1# set vrf interface ms-1/2/0.1 user@PE1# set vrf route-distinguisher 192.168.0.1:1 user@PE1# set vrf vrf-import vpn-import user@PE1# set vrf vrf-export vpn-export user@PE1# set vrf routing-options static route 10.0.0.0/0 next-hop ge-0/3/0.0 user@PE1# set vrf routing-options static route 10.11.11.1/32 next-hop ge-0/3/0.0 user@PE1# set vrf routing-options static route 10.8.8.1/32 next-hop ms-1/2/0.1
Configure propostas e políticas de IKE e IPsec e uma regra para aplicar a política de IKE no tráfego de entrada..
Nota:Por padrão, o Junos OS usa a política de IKE versão 1.0. O Junos OS Release 11.4 e posteriores também oferecem suporte à política de IKE versão 2.0, que você deve configurar em
[edit services ipsec-vpn ike policy policy-name pre-shared]
.[edit services] user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal protocol esp user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal authentication-algorithm hmac-sha1-96 user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal encryption-algorithm 3des-cbc user@PE1# set ipsec-vpn ipsec policy demo_ipsec_policy perfect-forward-secrecy keys group2 user@PE1# set ipsec-vpn ipsec policy demo_ipsec_policy proposals demo_ipsec_proposal user@PE1# set ipsec-vpn ike proposal demo_ike_proposal authentication-method pre-shared-keys user@PE1# set ipsec-vpn ike proposal demo_ike_proposal dh-group group2 user@PE1# set ipsec-vpn ike policy demo_ike_policy proposals demo_ike_proposal user@PE1# set ipsec-vpn ike policy demo_ike_policy pre-shared-key ascii-text juniperkey user@PE1# set ipsec-vpn rule demo-rule term demo-term then remote-gateway 10.21.2.1 user@PE1# set ipsec-vpn rule demo-rule term demo-term then dynamic ike-policy demo_ike_policy user@PE1# set ipsec-vpn rule demo-rule match-direction input
Configure um conjunto de serviços no estilo next-hop. Observe que você deve configurar as interfaces internas e externas que você configurou na primeira etapa como a
inside-service-interface
eoutside-service-interface
, respectivamente.[edit services] user@PE1# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@PE1# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@PE1# set service-set demo-service-set ipsec-vpn-options local-gateway 10.21.1.1 user@PE1# set service-set demo-service-set ipsec-vpn-rules demo-rule
Confirmar a configuração.
[edit] user@PE1# commit
Resultados
A partir do modo de configuração do Roteador 1, confirme sua configuração inserindo os show interfaces
comandos e show services ipsec-vpn
show policy-options
show routing-instances
show services service-set
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@PE1# show interfaces ... ms-1/2/0 { unit 0 { family inet { address 10.7.7.7/32; } } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } ge-0/3/0 { unit 0 { family inet { address 10.6.6.6/32; } } } ge-1/1/0 { description "teller ge-0/1/0"; unit 0 { family inet { address 10.21.1.1/16; } } } ...
user@PE1# show policy-options policy-statement vpn-export { then { community add vpn-community; accept; } } policy-statement vpn-import { term a { from community vpn-community; then accept; } } community vpn-community members target:100:20;
user@PE1# show routing-instances vrf { instance-type vrf; interface ge-0/3/0.0; interface ms-1/2/0.1; route-distinguisher 192.168.0.1:1; vrf-import vpn-import; vrf-export vpn-export; routing-options { static { route 10.0.0.0/0 next-hop ge-0/3/0.0; route 10.11.11.1/32 next-hop ge-0/3/0.0; route 10.8.8.1/32 next-hop ms-1/2/0.1; } } }
user@PE1# show services ipsec-vpn ipsec-vpn { rule demo-rule { term demo-term { then { remote-gateway 10.21.2.1; dynamic { ike-policy demo_ike_policy; } } } match-direction input; } ipsec { proposal demo_ipsec_proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy demo_ipsec_policy { perfect-forward-secrecy { keys group2; } proposals demo_ipsec_proposal; } } ike { proposal demo_ike_proposal { authentication-method pre-shared-keys; dh-group group2; } policy demo_ike_policy { proposals demo_ike_proposal; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } } }
user@PE1# show services service-set demo-service-set next-hop-service { inside-service-interface ms-1/2/0.1; outside-service-interface ms-1/2/0.2; } ipsec-vpn-options { local-gateway 10.21.1.1; } ipsec-vpn-rules demo-rule;
Exemplo multitarefa: configuração de serviços IPsec
As seguintes instruções baseadas em exemplo mostram como configurar serviços IPsec. A configuração envolve definir uma política de IKE, uma política de IPsec, regras de IPsec, opções de rastreamento e conjuntos de serviços.
Este tópico inclui as seguintes tarefas:
- Configuração da proposta IKE
- Configuração da política de IKE (e referência à proposta IKE)
- Configuração da proposta IPsec
- Configurando a política de IPsec (e fazendo referência à proposta IPsec)
- Configurando a regra IPsec (e fazendo referência às políticas IKE e IPsec)
- Configuração de opções de rastreamento IPsec
- Configurando o perfil de acesso (e fazendo referência às políticas IKE e IPsec)
- Configurando o conjunto de serviços (e fazendo referência ao perfil IKE e à regra IPsec)
Configuração da proposta IKE
A configuração da proposta de IKE define os algoritmos e as chaves usadas para estabelecer a conexão IKE segura com o gateway de segurança por pares. Para obter mais informações sobre propostas de IKE, consulte Configuração de propostas de IKE.
Para definir a proposta do IKEaI:
A saída de amostra a seguir mostra a configuração da proposta IKE:
[edit services ipsec-vpn] user@host# show ike proposal test-IKE-proposal { authentication-method pre-shared-keys; dh-group group1; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; }
Veja também
Configuração da política de IKE (e referência à proposta IKE)
A configuração da política de IKE define a proposta, o modo, os endereços e outros parâmetros de segurança usados durante a negociação da IKE. Para obter mais informações sobre políticas de IKE, consulte Configuração de políticas de IKE.
Para definir a política de IKE e fazer referência à proposta IKE:
A saída de amostra a seguir mostra a configuração da política de IKE:
[edit services ipsec-vpn] user@host# show ike policy test-IKE-policy { mode main; proposals test-IKE-proposal; local-id ipv4_addr 192.168.255.2; pre-shared-key ascii-text TEST; }
Configuração da proposta IPsec
A configuração da proposta de IPsec define os protocolos e algoritmos (serviços de segurança) necessários para negociar com o peer IPsec remoto. Para obter mais informações sobre propostas de IPsec, consulte Configurando propostas de IPsec.
Para definir a proposta IPsec:
A saída de amostra a seguir mostra a configuração da proposta IPsec:
[edit services ipsec-vpn] user@host# show ike proposal test-IPsec-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; }
Veja também
Configurando a política de IPsec (e fazendo referência à proposta IPsec)
A configuração da política de IPsec define uma combinação de parâmetros de segurança (propostas IPsec) usados durante a negociação do IPsec. Ele define o PFS e as propostas necessárias para a conexão. Para obter mais informações sobre políticas de IPsec, consulte Configuração de políticas IPsec.
Para definir a política de IPsec e fazer referência à proposta IPsec:
A saída de amostra a seguir mostra a configuração da política IPsec:
[edit services ipsec-vpn] user@host# show ipsec policy test-IPsec-policy perfect-forward-secrecy { keys group1; } proposals test-IPsec-proposal;
Veja também
Configurando a regra IPsec (e fazendo referência às políticas IKE e IPsec)
A configuração da regra IPsec define a direção que especifica se a correspondência é aplicada no lado de entrada ou saída da interface. A configuração também consiste em um conjunto de termos que especificam as condições e aplicativos de correspondência que estão incluídos e excluídos e também especificam as ações e modificadores de ação a serem executados pelo software do roteador. Para obter mais informações sobre as regras do IPsec, consulte Configuração de regras de IPsec.
Para definir a regra do IPsec e fazer referência às políticas IKE e IPsec:
A saída de amostra a seguir mostra a configuração da regra IPsec:
[edit services ipsec-vpn] user@host# show rule test-IPsec-rule term 10 { from { destination-address { 192.168.255.2/32; } } then { remote-gateway 0.0.0.0; dynamic { ike-policy test-IKE-policy; ipsec-policy test-IPsec-policy; } } } match-direction input;
Configuração de opções de rastreamento IPsec
A configuração de opções de rastreamento IPsec rastreia eventos IPsec e os registra em um arquivo de log no /var/log directory. Por padrão, este arquivo é nomeado /var/log/kmd. Para obter mais informações sobre as regras do IPsec, consulte Rastreamento do Junos VPN Site Secure Operations.
Para definir as opções de rastreamento de IPsec:
A saída de amostra a seguir mostra a configuração das opções de rastreamento IPsec:
[edit services ipsec-vpn] user@host# show traceoptions file ipsec.log; flag all;
Configurando o perfil de acesso (e fazendo referência às políticas IKE e IPsec)
A configuração do perfil de acesso define o perfil de acesso e faz referência às políticas IKE e IPsec. Para obter mais informações sobre o perfil de acesso, consulte Configurando um perfil de acesso IKE.
Para definir o perfil de acesso e fazer referência às políticas IKE e IPsec:
A saída de amostra a seguir mostra a configuração do perfil de acesso:
[edit access] user@host# show profile IKE-profile-TEST { client * { ike { allowed-proxy-pair local 10.0.0.0/24 remote 10.0.1.0/24; ike-policy test-IKE-policy; ipsec-policy test-IPsec-policy; # new statement interface-id TEST-intf; } } }
Veja também
Configurando o conjunto de serviços (e fazendo referência ao perfil IKE e à regra IPsec)
A configuração do conjunto de serviços define conjuntos de serviçoS IPsec que exigem especificações adicionais e faz referência ao perfil IKE e à regra IPsec. Para obter mais informações sobre conjuntos de serviços IPsec, consulte Configurando conjuntos de serviços IPsec.
Para definir a configuração do conjunto de serviços com os conjuntos de serviços de próximo salto e opções de VPN IPsec:
A saída de amostra a seguir mostra a configuração da configuração do conjunto de serviços fazendo referência ao perfil IKE e à regra IPsec:
[edit services]user@host# show service-set TEST next-hop-service { inside-service-interface sp-1/2/0.1; outside-service-interface sp-1/2/0.2; } ipsec-vpn-options { local-gateway 192.168.255.2; ike-access-profile IKE-profile-TEST; } ipsec-vpn-rules test-IPsec-rule;
Veja também
Desativação de NAT-T em roteadores da Série MX para lidar com NAT com pacotes protegidos por IPsec
Antes do lançamento do Junos OS 17.4R1, o Network Address Translation-Traversal (NAT-T) não é compatível com o pacote Junos VPN Site Secure de recursos IPsec nos roteadores da Série MX. Por padrão, o Junos OS detecta se algum dos túneis IPsec está por trás de um dispositivo NAT e muda automaticamente para usar o NAT-T para o tráfego protegido. Para evitar a execução de NAT-T sem suporte em versões do Junos OS antes do 17.4R1, você deve desabilitar o NAT-T, incluindo a disable-natt
declaração no nível de [edit services ipsec-vpn]
hierarquia. Quando você desativa o NAT-T, a funcionalidade NAT-T é desativada globalmente. Quando você desativa o NAT-T e um dispositivo NAT está presente entre os dois gateways IPsec, as mensagens ISAKMP são negociadas usando a porta UDP 500 e os pacotes de dados são encapsulados com encapsulamento do Security Payload (ESP).
Network Address Translation-Traversal (NAT-T) é um método para contornar problemas de tradução de endereço IP encontrados quando dados protegidos por IPsec passam por um dispositivo NAT para tradução de endereços. Qualquer alteração no endereçamento ip, que é a função do NAT, faz com que o IKE descarte pacotes. Depois de detectar um ou mais dispositivos NAT ao longo do caminho de dados durante as trocas de Fase 1, o NAT-T adiciona uma camada de encapsulamento do Protocolo de Datagram do Usuário (UDP) aos pacotes IPsec para que eles não sejam descartados após a tradução do endereço. O NAT-T encapsula o tráfego IKE e ESP dentro do UDP com a porta 4500 usada como porta de origem e destino. Como os dispositivos NAT envelhecem as tradução de UDP obsoletas, são necessárias mensagens keepalive entre os pares.
A localização de um dispositivo NAT pode ser tal que:
Apenas o iniciador IKEv1 ou IKEv2 está por trás de um dispositivo NAT. Vários iniciadores podem estar por trás de dispositivos NAT separados. Os iniciadores também podem se conectar ao respondente por meio de vários dispositivos NAT.
Apenas o IKEv1 ou iKEv2 estão por trás de um dispositivo NAT.
Tanto o IKEv1 quanto o iniciador IKEv2 e o respondente estão por trás de um dispositivo NAT.
A VPN dinâmica de endpoint cobre a situação em que o endereço externo IKE do iniciador não é fixo e, portanto, não é conhecido pelo respondente. Isso pode ocorrer quando o endereço do iniciador é atribuído dinamicamente por um ISP ou quando a conexão do iniciador cruza um dispositivo NAT dinâmico que aloca endereços de um pool de endereços dinâmico.
Exemplos de configuração para NAT-T são fornecidos para a topologia em que apenas o respondente está por trás de um dispositivo NAT e a topologia em que tanto o iniciador quanto o respondente estão por trás de um dispositivo NAT. A configuração de gateway IKE de site para local para NAT-T é suportada tanto no iniciador quanto no respondente. Um ID IKE remoto é usado para validar o ID IKE local de um peer durante a Fase 1 da negociação de túneis IKE. Tanto o iniciador quanto o respondente exigem uma identificação local e uma corda de identidade remota.
Veja também
Rastreamento das operações seguras do site Junos VPN
O Junos VPN Site Secure é um conjunto de recursos IPsec suportados em placas de linha de multisserviços (MS-DPC, MS-MPC e MS-MIC), e foi anteriormente referido como serviços IPsec.
Trace operações rastreie eventos IPsec e registre-os em um arquivo de log no /var/log
diretório. Por padrão, este arquivo é nomeado /var/log/kmd
.
Para rastrear as operações de IPsec, inclua a traceoptions
declaração no nível de [edit services ipsec-vpn]
hierarquia:
[edit services ipsec-vpn] traceoptions { file <filename> <files number> <match regular-expression> <size bytes> <world-readable | no-world-readable>; flag flag; level level; no-remote-trace; }
Você pode especificar as seguintes bandeiras de rastreamento IPsec:
all
— Rastreie tudo.certificates
— Trace os eventos de certificados.database
— Rastrear eventos de banco de dados de associações de segurança.general
— Trace eventos gerais.ike
— Trace o processamento do módulo IKE.parse
— Trace o processamento da configuração.policy-manager
— Trace o processamento do gerenciador de políticas.routing-socket
— Rastrear mensagens de tomada de roteamento.snmp
— Trace as operações de SNMP.timer
— Trace eventos internos do timer.
A level
declaração define o nível de rastreamento do processo de gerenciamento chave (kmd). Os valores a seguir são suportados:
all
— Combine com todos os níveis.error
— Condições de erro de correspondência.info
—Combine mensagens informativas.notice
— Condições de correspondência que devem ser tratadas especialmente.verbose
— Correspondência de mensagens verbosas.warning
— Combinar mensagens de aviso.
Esta seção inclui os seguintes tópicos:
Desativação do endpoint do túnel IPsec no traceroute
Se você incluir a no-ipsec-tunnel-in-traceroute
declaração no nível de [edit services ipsec-vpn]
hierarquia, o túnel IPsec não é tratado como um próximo salto e o tempo de vida (TTL) não é decremente. Além disso, se o TTL atingir zero, uma mensagem de tempo de ICMP não será gerada.
[edit services ipsec-vpn] no-ipsec-tunnel-in-traceroute;
Essa funcionalidade também é fornecida pela declaração passive-mode-tunneling
. Você pode usar a no-ipsec-tunnel-in-traceroute
declaração em cenários específicos em que o túnel IPsec não deve ser tratado como um próximo salto e o modo passivo não é desejado.
Rastreamento das operações de PKI IPsec
Trace operações rastreie eventos de PKI IPsec e registre-os em um arquivo de log no /var/log
diretório. Por padrão, este arquivo é nomeado /var/log/pkid
.
Para rastrear as operações de PKI IPsec, inclua a traceoptions
declaração no nível de [edit security pki]
hierarquia:
[edit security pki] traceoptions { file filename <files number> <match regular-expression> <size maximum-file-size> <world-readable | no-world-readable>; flag flag (all | certificate-verification | enrollment | online-crl-check); }
Você pode especificar as seguintes bandeiras de rastreamento PKI:
all
— Rastreie tudo.certificates
— Trace os eventos de certificados.database
— Rastrear eventos de banco de dados de associações de segurança.general
— Trace eventos gerais.ike
— Trace o processamento do módulo IKE.parse
— Trace o processamento da configuração.policy-manager
— Trace o processamento do gerenciador de políticas.routing-socket
— Rastrear mensagens de tomada de roteamento.snmp
— Trace as operações de SNMP.timer
— Trace eventos internos do timer.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
gw-interface
declaração para permitir a limpeza de gatilhos IKE e SAs IKE e IPsec quando o endereço IP local de gateway de um túnel IPsec cair, ou o MS-MIC ou MS-MPC sendo usado no conjunto de serviços do túnel cai.
ipsec-inside-interface interface-name
declaração no
[edit services ipsec-vpn rule rule-name term term-name from]
nível hierárquica.
header-integrity-check
que é suportada em MS-MICs e MS-MPCs para verificar o cabeçalho do pacote em caso de anomalias em informações de IP, TCP, UDP e ICMP e sinalizar tais anomalias e erros tem uma funcionalidade que é oposta à funcionalidade causada pelo tunelamento de modo passivo.