Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de um perfil de acesso IKE para túneis de endpoint dinâmicos IPsec

Configuração de um perfil de acesso IKE para túneis de endpoint dinâmicos IPsec

Você pode configurar apenas um perfil de túnel por conjunto de serviço para todos os pares dinâmicos. A chave pré-compartilhada configurada no perfil é usada para autenticação IKE de todos os pares dinâmicos que terminam nesse conjunto de serviços.

O perfil do túnel IKE especifica todas as informações necessárias para concluir a negociação do IKE. Para obter mais informações sobre perfis de acesso, consulte o Guia de configuração básica do Sistema Junos.

Nota:

Para pares dinâmicos, o Junos OS oferece suporte apenas ao modo principal IKE com o método-chave pré-compartilhado de autenticação. Nesse modo, um endereço IPv4 ou IPv6 é usado para identificar um peer de túnel para obter as informações-chave pré-compartilhadas. O valor do cliente * (curinga) significa que a configuração dentro deste perfil é válida para todos os pares dinâmicos que terminam dentro do conjunto de serviços que acessa esse perfil.

As declarações a seguir são as partes do perfil IKE:

  • par de proxy permitido — Durante a negociação de IKE da fase 2, o peer remoto fornece seu endereço de rede (remoto) e o endereço de rede de seus pares (local). Como vários túneis dinâmicos são autenticados pelo mesmo mecanismo, esta declaração deve incluir a lista de combinações possíveis. Se o peer dinâmico não apresentar uma combinação válida, a negociação de IKE fase 2 falhará.

    Por padrão, o 0.0.0.0/0 local 0.0.0.0/0 remoto é usado se nenhum valor estiver configurado.

  • chave pré-compartilhada — chave obrigatória usada para autenticar o peer dinâmico durante a negociação da fase 1 do IKE. Essa chave deve ser configurada em ambas as extremidades do túnel e distribuída por meio de um mecanismo seguro fora de banda. Você pode configurar o valor-chave em formato hexadecimal ou ascii-texto .

  • interface-id — identificador de interface, um atributo obrigatório usado para obter as informações lógicas da interface de serviço para a sessão.

  • ipsec-policy — Nome da política IPsec que define as informações de política do IPsec para a sessão. Você define a política IPsec no nível de [edit services ipsec-vpn ipsec policy policy-name] hierarquia. Se nenhuma política for definida, qualquer política proposta pelo peer dinâmico é aceita.

Configuração do conjunto de serviços para túneis de endpoint dinâmicos IPsec

Para completar uma configuração dinâmica de túnel de endpoint, você precisa fazer referência ao perfil de acesso IKE configurado no nível de hierarquia [editar acesso] no conjunto de serviços. Para isso, inclua a ike-access-profile declaração no nível de hierarquia [editar serviços ipsec-vpn-optionsname]:

Você pode fazer referência a apenas um perfil de acesso em cada conjunto de serviços. Esse perfil é usado para negociar associações de segurança IKE e IPsec apenas com pares dinâmicos.

Nota:

Se você configurar um perfil de acesso IKE em um conjunto de serviços, nenhum outro conjunto de serviços pode compartilhar o mesmo endereço de gateway local .

Configurando o identificador de interface para túneis de endpoint dinâmicos IPsec

Você pode configurar um identificador de interface para um grupo de pares dinâmicos, que especifica quais(s) interface lógica de serviços adaptativos participam na negociação dinâmica do IPsec. Ao atribuir o mesmo identificador de interface a várias interfaces lógicas, você pode criar um pool de interfaces para essa finalidade. Para configurar, inclua a ipsec-interface-id declaração no nível de hierarquia [editar interfaces interface-name]:

Especificar o identificador de dial-options interface na declaração torna essa interface lógica parte do pool identificada pelo identificador de interface IPsec.

Nota:

Apenas um identificador de interface pode ser especificado por vez. Você pode incluir a ipsec-interface-id declaração ou a l2tp-interface-id declaração, mas não ambos simultaneamente.

A shared declaração permite que uma interface lógica seja compartilhada em vários túneis. A dedicated declaração especifica que a interface lógica está associada a um único túnel, o que é necessário quando você está configurando um túnel do tipo de enlace IPsec. Você deve incluir a dedicated declaração quando especificar um valor ipsec-interface-id .

Configurando vários túneis roteados em um único conjunto de serviços next-hop

Você pode configurar opcionalmente vários túneis IPSec roteados em um único conjunto de serviços next-hop. Para isso, comece estabelecendo várias interfaces de serviços como interfaces internas, incluindo a declaração interna do domínio de serviço no nível de hierarquia [editar interfaces sp-unitfpc/pic/portlogical-unit-number]. Em seguida, inclua a ipsec-inside-interface declaração no nível da [edit services ipsec-vpn rule rule-name term term-name from] hierarquia.

Nota:

As propostas e políticas completas do IPsec e do IKE não são mostradas no exemplo a seguir, por uma questão de brevidade.

Para confirmar que sua configuração está funcionando, emita o show services ipsec-vpn ipsec security-associations comando. Observe que cada interface IPsec interna que você atribuiu a cada túnel IPsec está incluída na saída deste comando.