Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de uma VPN baseada em políticas

Este exemplo mostra como configurar uma VPN IPsec baseada em políticas para permitir que os dados sejam transferidos com segurança entre dois sites.

Requisitos

Este exemplo usa o seguinte hardware:

  • Qualquer dispositivo da Série SRX

    • Atualizado e revalidado usando o vSRX no Junos OS Release 20.4R1.
Nota:

Você tem interesse em ter uma experiência prática com os tópicos e operações abordados neste guia? Visite a demonstração baseada em políticas IPsec nos Laboratórios Virtuais da Juniper Networks e reserve seu sandbox gratuito hoje mesmo! Você encontrará o sandbox baseado em políticas IPsec VPN na categoria Segurança.

Antes de começar, leia Visão geral do IPsec.

Visão geral

Neste exemplo, você configura uma VPN baseada em políticas no SRX1 e SRX2. Host1 e Host2 usam a VPN para enviar tráfego com segurança pela Internet entre ambos os hosts.

Figura 1 mostra um exemplo de uma topologia VPN baseada em políticas.

Figura 1: Topologia VPN baseada em políticas Topologia VPN baseada em políticas

A negociação do túnel IKE IPsec ocorre em duas fases. Na Fase 1, os participantes estabelecem um canal seguro para negociar a associação de segurança IPsec (SA). Na Fase 2, os participantes negociam o IPsec SA para autenticar o tráfego que fluirá pelo túnel. Assim como existem duas fases para a negociação de túneis, existem duas fases para a configuração do túnel.

Neste exemplo, você configura interfaces, uma rota padrão IPv4 e zonas de segurança. Em seguida, você configura parâmetros IKE Fase 1, IPsec Fase 2, política de segurança e parâmetros TCP-MSS. Veja Tabela 1 por completo Tabela 5.

Tabela 1: Informações de interface, rota estática e zona de segurança para SRX1

Recursos

Nome

Parâmetros de configuração

Interfaces

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1,0

172.16.13.1/24

Zonas de segurança

Confiar

  • A interface ge-0/0/0.0 está ligada a essa zona.

 

não confiável

  • A interface ge-0/0/1.0 está ligada a essa zona.

Rotas estáticas

0.0.0.0/0

  • O próximo salto é 172.16.13.2.

Tabela 2: Parâmetros de configuração da Fase 1 do IKE

Recursos

Nome

Parâmetros de configuração

Proposta

Padrão

  • Método de autenticação: chaves pré-compartilhadas

Política

IKE-POL

  • Modo: Principal

  • Referência da proposta: Padrão

  • Método de autenticação de políticas da Fase 1 do IKE: ascii-text pré-compartilhado

Gateway

IKE-GW

  • Referência de política do IKE: IKE-POL

  • Interface externa: ge-0/0/1

  • Endereço do gateway: 172.16.23.1

Tabela 3: Parâmetros de configuração da Fase 2 do IPsec

Recursos

Nome

Parâmetros de configuração

Proposta

Padrão

  • Usando a configuração padrão

Política

IPSEC-POL

  • Referência da proposta: Padrão

VPN

VPN-to-Host2

  • Referência de gateway IKE: IKE-GW

  • Referência de política do IPsec: IPSEC-POL

  • estabelecer túneis imediatamente
Tabela 4: Parâmetros de configuração de políticas de segurança

Propósito

Nome

Parâmetros de configuração

Essa política de segurança permite o tráfego da zona de confiança até a zona não confiável.

VPN-OUT

  • Critérios de correspondência:

    • host1-Net de endereço fonte

    • Host2-Net de endereço de destino

    • qualquer aplicativo

  • Permitir ação: túnel ipsec-vpn VPN-to-Host2

Essa política de segurança permite o tráfego da zona não confiável para a zona de confiança.

VPN-IN

  • Critérios de correspondência:

    • host2-Net de endereço fonte

    • host1-Net de endereço de destino

    • qualquer aplicativo

  • Permitir ação: túnel ipsec-vpn VPN-to-Host2

Essa política de segurança permite que todo o tráfego da zona de confiança até a zona não confiável.

Você deve colocar a política VPN-OUT antes da política de segurança de permissão padrão. O Junos OS realiza uma busca por políticas de segurança começando no topo da lista. Se a política de permissão padrão vier antes da política VPN-OUT, todo o tráfego da zona de confiança corresponde à política de permissão padrão e é permitido. Assim, nenhum tráfego jamais corresponderá à política VPN-OUT.

licença padrão

  • Critérios de correspondência:

    • endereço fonte qualquer

    • destino fonte qualquer

    • qualquer aplicativo

  • Ação: Permitir

Tabela 5: Parâmetros de configuração TCP-MSS

Propósito

Parâmetros de configuração

O TCP-MSS é negociado como parte do aperto de mão de três vias TCP e limita o tamanho máximo de um segmento de TCP para se adequar melhor aos limites máximos da unidade de transmissão (MTU) em uma rede. Isso é especialmente importante para o tráfego vpn, pois a sobrecarga de encapsulamento IPsec, juntamente com o IP e a sobrecarga de quadros, podem fazer com que o pacote de payload de segurança (ESP) encapsulado resultante exceda o MTU da interface física, causando assim a fragmentação. A fragmentação resulta em um maior uso de largura de banda e recursos de dispositivos.

Recomendamos um valor de 1350 como ponto de partida para a maioria das redes baseadas em Ethernet com uma MTU de 1500 ou mais. Você pode precisar experimentar diferentes valores TCP-MSS para obter um desempenho ideal. Por exemplo, você pode precisar alterar o valor se algum dispositivo no caminho tiver uma MTU menor ou se houver alguma sobrecarga adicional, como PPP ou Frame Relay.

Valor do MSS: 1350

Configuração

Configuração de informações básicas de rede e zona de segurança

Configuração rápida de CLI

Para configurar rapidamente este exemplo para SRX1, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário da CLI.

Para configurar informações de interface, rota estática e zona de segurança:

  1. Configure as interfaces.

  2. Configure as rotas estáticas.

  3. Atribua a interface voltada para a Internet à zona de segurança não confiável.

  4. Especifique os serviços de sistema permitidos para a zona de segurança não confiável.

  5. Atribua a interface voltada para o Host1 para a zona de segurança de confiança.

  6. Especifique os serviços de sistema permitidos para a zona de segurança de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configuração do IKE

Configuração rápida de CLI

Para configurar rapidamente este exemplo para SRX1, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário do CLI.

Para configurar o IKE:

  1. Crie a proposta do IKE.

  2. Defina o método de autenticação de propostas de IKE.

  3. Crie a política de IKE.

  4. Defina o modo de política de IKE.

  5. Especifique uma referência à proposta do IKE.

  6. Defina o método de autenticação de políticas IKE.

  7. Crie o gateway IKE e defina sua interface externa.

  8. Defina o endereço de gateway IKE.

  9. Defina a referência da política do IKE.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ike comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configuração do IPsec

Configuração rápida de CLI

Para configurar rapidamente este exemplo para SRX1, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário do CLI.

Para configurar o IPsec:

  1. Crie a proposta do IPsec.

  2. Crie a política IPsec.

  3. Especifique a referência da proposta do IPsec.

  4. Especifique o gateway IKE.

  5. Especifique a política de IPsec.

  6. Configure o túnel para estabelecer imediatamente.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security ipsec comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configuração de políticas de segurança

Configuração rápida de CLI

Para configurar rapidamente este exemplo para SRX1, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o Guia do usuário do CLI.

Para configurar políticas de segurança:

  1. Crie entradas de livros de endereços para as redes que serão usadas nas políticas de segurança.

  2. Crie a política de segurança para combinar o tráfego desde o Host1 na zona de confiança até o Host2 na zona não confiável.

  3. Crie a política de segurança para permitir que todos os outros tráfegos para a Internet, desde a zona de confiança até a zona não confiável.

  4. Crie uma política de segurança para permitir o tráfego do Host2 na zona não confiável para o Host1 na zona de confiança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Configuração do TCP-MSS

Configuração rápida de CLI

Para configurar rapidamente este exemplo para SRX1, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

Para configurar as informações do TCP-MSS:

  1. Configure as informações do TCP-MSS.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security flow comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do SRX2

Configuração rápida de CLI

Para referência, a configuração do SRX2 é fornecida.

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando o status do IKE

Propósito

Verifique o status do IKE.

Ação

A partir do modo operacional, entre no show security ike security-associations comando. Depois de obter um número de índice do comando, use o show security ike security-associations index index_number detail comando.

Significado

O show security ike security-associations comando lista todas as associações ativas de segurança de Fase 1 (SAs) do IKE. Se não houver SAs listados, houve um problema com o estabelecimento da Fase 1. Verifique os parâmetros de política do IKE e as configurações da interface externa em sua configuração.

Se os SAs estiverem listados, revise as seguintes informações:

  • Índice — Esse valor é exclusivo para cada IKE SA, que você pode usar no show security ike security-associations index detail comando para obter mais informações sobre a SA.

  • Endereço remoto — verifique se o endereço IP remoto está correto.

  • Estado

    • UP — A FASE 1 SA foi estabelecida.

    • DOWN — Houve um problema no estabelecimento da SA fase 1.

  • Modo — Verifique se o modo correto está sendo usado.

Verifique se os seguintes estão corretos em sua configuração:

  • Interfaces externas (a interface deve ser a que recebe pacotes IKE)

  • Parâmetros de política de IKE

  • Informações-chave pré-compartilhadas

  • Parâmetros de proposta de fase 1 (devem combinar com ambos os pares)

O show security ike security-associations index 1859361 detail comando lista informações adicionais sobre a associação de segurança com um número de índice de 1859361:

  • Algoritmos de autenticação e criptografia usados

  • Vida útil da fase 1

  • Estatísticas de tráfego (podem ser usadas para verificar se o tráfego está fluindo corretamente em ambas as direções)

  • Informações sobre as funções do iniciador e do respondente

    A solução de problemas é melhor executada no peer usando a função responder.

  • Número de SAs IPsec criados

  • Número de negociações da Fase 2 em andamento

Verificando o status da Fase 2 do IPsec

Propósito

Verifique o status da Fase 2 do IPsec.

Ação

A partir do modo operacional, entre no show security ipsec security-associations comando. Depois de obter um número de índice do comando, use o show security ipsec security-associations index index_number detail comando.

Significado

A saída do show security ipsec security-associations comando lista as seguintes informações:

  • O número de identificação é 2. Use esse valor com o show security ipsec security-associations index comando para obter mais informações sobre este SA em particular.

  • Existe um par IPsec SA usando a porta 500, o que indica que nenhuma travessia de NAT é implementada. (A travessia de NAT usa a porta 4500 ou outra porta aleatória de alto número.)

  • As SPIs, a vida útil (em segundos) e os limites de uso (ou tamanho vital em KB) são mostrados para ambas as direções. O valor 921/ilimitado indica que a vida útil da Fase 2 expira em 921 segundos, e que nenhum tamanho vital foi especificado, o que indica que é ilimitado. A vida útil da fase 2 pode diferir da vida útil da Fase 1, já que a Fase 2 não depende da Fase 1 depois que a VPN estiver ativa.

  • O monitoramento de VPN não está habilitado para este SA, conforme indicado por um hífen na coluna Mon. Se o monitoramento de VPN estiver ativado, U (para cima) ou D (para baixo) está listado.

  • O sistema virtual (vsys) é o sistema raiz, e ele sempre lista 0.

A saída do show security ipsec security-associations index 2 detail comando lista as seguintes informações:

  • A identidade local e a identidade remota compõem o ID proxy para o SA.

    Uma incompatibilidade de ID por proxy é uma das razões mais comuns para uma falha na Fase 2. Para VPNs baseadas em políticas, o ID proxy é derivado da política de segurança. O endereço local e o endereço remoto são derivados das entradas do livro de endereços, e o serviço é derivado do aplicativo configurado para a política. Se a Fase 2 falhar por causa de uma incompatibilidade de ID por proxy, você pode usar a política para confirmar quais entradas do livro de endereços estão configuradas. Verifique se os endereços correspondem às informações enviadas. Verifique o serviço para garantir que as portas correspondam às informações que estão sendo enviadas.

Teste o fluxo de tráfego através da VPN

Propósito

Verifique o fluxo de tráfego por toda a VPN.

Ação

Use o ping comando do dispositivo Host1 para testar o fluxo de tráfego para o Host2.

Significado

Se o ping comando falhar no Host1, pode haver um problema com o roteamento, políticas de segurança, host final ou criptografia e descriptografia de pacotes ESP.

Revisão de estatísticas e erros para uma associação de segurança IPsec

Propósito

Revise contadores e erros de cabeçalho de autenticação e ESP para uma associação de segurança IPsec.

Ação

A partir do modo operacional, entre no show security ipsec statistics index index_number comando, usando o número de índice da VPN para a qual você deseja ver estatísticas.

Você também pode usar o show security ipsec statistics comando para revisar estatísticas e erros para todos os SAs.

Para limpar todas as estatísticas do IPsec, use o clear security ipsec statistics comando.

Significado

Se você ver problemas de perda de pacotes em uma VPN, você pode executar o show security ipsec statistics comando várias vezes para confirmar que os contadores de pacotes criptografados e descriptografados estão aumentando. Você também deve verificar se os outros contadores de erro estão incrementando.