Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN em dispositivos hub-and-spoke

A AutoVPN tem suporte para um agregador IPsec VPN (conhecido como hub) que serve como um único ponto de terminação para vários túneis em locais remotos (conhecidos como spokes). O AutoVPN permite que os administradores de rede configurem um hub para spokes atuais e futuros.

Entender o AutoVPN

A AutoVPN tem suporte para um agregador IPsec VPN (conhecido como hub)que serve como um único ponto de terminação para vários túneis em locais remotos (conhecidos como spokes). O AutoVPN permite que os administradores de rede configurem um hub para spokes atuais e futuros. Não são necessárias alterações de configuração no hub quando dispositivos spoke são adicionados ou excluídos, o que permite aos administradores flexibilidade no gerenciamento de implantações de rede de grande escala.

Modos de túnel seguro

O AutoVPN é suportado em VPNs IPsec baseadas em rotas. Para VPNs baseadas em roteamento, você configura uma interface de túnel seguro (st0) e a vincula a um túnel IPsec VPN. as interfaces st0 em redes AutoVPN podem ser configuradas em um dos dois modos:

  • Modo ponto a ponto — por padrão, uma interface st0 configurada no nível da hierarquia [] está no modo edit interfaces st0 unit x ponto a ponto. A começar pela versão do Junos OS 17.4R1, o endereço IPv6 é suportado no AutoVPN.

  • Modo ponto a multipoint — Nesse modo, a opção está configurada no nível [ ] da hierarquia, tanto no hub AutoVPN como nas multipoint interfaces spoke.st0 no hub e nos spokes, e o endereço IP configurado em um spoke deve existir na subneta de interface st0 do edit interfaces st0 unit x hub.

Tabela 1 compara os modos de interface de túnel seguro ponto a ponto e ponto-a-multipoint autoVPN.

Tabela 1: Comparação entre modos de túnel seguro ponto a ponto com o autoVPN point-to-multipoint

Modo ponto a ponto

Modo ponto a multipoint

Aceita IKEv1 ou IKEv2.

Aceita IKEv1 ou IKEv2.

Aceita tráfego IPv4 e IPv6.

Aceita IPv4 ou IPv6.

Seletores de tráfego

Protocolos de roteamento dinâmico (OSPF, OSPFv3 e iBGP)

Detecção de peers morta

Detecção de peers morta

Permite que dispositivos spoke sejam da Série SRX ou dispositivos de terceiros.

Esse modo só é compatível com dispositivos da Série SRX.

Autenticação

A autenticação suportada para hubs e spokes de AutoVPN são os certificados PKI (Public Key Infrastructure, Infraestrutura de Chaves Públicas) X.509. O tipo IKE de usuário configurado no hub permite que as strings sejam especificadas para combinar com o campo de assunto alternativo em certificados spoke. Também podem ser especificadas combinações parciais para os campos de assunto nos certificados spoke. Veja a compreensão da autenticação de spoke nas implantações de AutoVPN.

A partir do Junos OS Release 21.2R1, a linha de dispositivos SRX5000 com placa SPC3 e vSRX de processo iked em execução aceita AutoVPN com chave pré-compartilhada sem fio. A linha SRX5000 de dispositivos com placa SPC3 e vSRX aceita AutoVPN PSK somente se o pacote junos-ike estiver instalado.

Temos suporte para AutoVPN com as seguintes opções:

  • PSK com sementes de VPN automática: Vários peers se conectam ao mesmo gateway com uma chave pré-compartilhada diferente.
  • PSK compartilhado por auto-VPN: Vários peers se conectam ao mesmo gateway com a mesma chave pré-compartilhada.

O PSK sem sementes é diferente do PSK não semente (ou seja, o mesmo PSK compartilhado). O Seed PSK usa a chave principal para gerar a PSK compartilhada para o peer. Assim, cada peer terá uma conexão PSK diferente com o mesmo gateway. Por exemplo: Considere um cenário em que peer 1 com IKE ID user1@juniper.net peer 2 com IKE ID user2@juniper.net tenta se conectar ao gateway. Nesse cenário, o gateway que está configurado como contendo a chave principal configurada, terá a HUB_GWThisIsMySecretPreSharedkey PSK diferente da seguinte forma:

Peer 1: 79e4ea39f5c06834a3c4c031e37c6de24d46798a

Peer 2: 3db8385746f3d1e639435a882579a9f28464e5c7

Isso significa que, para diferentes usuários com id de usuário diferente e a mesma chave principal, haverá uma chave pré-compartilhada diferente ou exclusiva.

Você pode usar ou seeded-pre-shared-key para pre-shared-key PSK auto-VPN:

  • Chave pré-compartilhada diferente: Se a configuração for definida, IKE chave pré-compartilhada diferente é usada pelo gateway VPN para seeded-pre-shared-key autenticar cada peer remoto. As chaves pré-compartilhadas por peer são geradas usando o conjunto no master-key gateway IKE e compartilhadas entre os peers.

    Para permitir que o gateway VPN use uma IKE pré-compartilhada (PSK) diferente para autenticar cada peer remoto, use os novos comandos CLI ou no nível seeded-pre-shared-key ascii-textseeded-pre-shared-key hexadecimal da [edit security ike policy policy_name] hierarquia.

    Esse comando é mutuamente exclusivo com pre-shared-key comando na mesma hierarquia.

    Consulte a política.

  • Chave pré-compartilhada/mesma chave pré-compartilhada: Se pre-shared-key-type não estiver configurada, a PSK será considerada compartilhada. A mesma IKE pré-compartilhada é usada pelo gateway VPN para autenticar todos os peers remotos.

    Para permitir que o gateway VPN use a mesma IKE PSK para autenticar todos os peers remotos, use os comandos CLI existentes pre-sharedkey ascii-text ou pre-shared-key hexadecimal .

No gateway VPN, você pode desviar da validação IKE ID usando a instrução general-ikeid de configuração no nível [edit security ike gateway gateway_name dynamic] da hierarquia. Se essa opção estiver configurada, durante a autenticação de peer remoto, o gateway VPN permitirá qualquer conexão IKE ID remota. Veja general-ikeid .

A linha SRX5000 de dispositivos com placa SPC3 e vSRX iked em execução aceita os seguintes modos IKE de segurança:

Tabela 2: Suporte a AutoVPN PSK

IKE Mode

Linha SRX5000 de dispositivos com placa SPC3 e vSRX processo iked em execução

PSK compartilhada

Sementes PSK

IKEv2

Sim

Sim

IKEv2 com qualquer...remote-id

Sim

Sim

Modo agressivo IKEv1

Sim

Sim

Modo agressivo IKEv1 any-remote-id com/general-ikeid

Sim

Sim

Modo principal IKEv1

Sim

Não

Modo principal IKEv1 com qualquer id remoto/general-ikeid

Sim

Não

Veja o exemplo: Configurando a AutoVPN com chave pré-compartilhada.

Configuração e gerenciamento

O AutoVPN é configurado e gerenciado em dispositivos da Série SRX usando a CLI. Vários hubs AutoVPN podem ser configurados em um único dispositivo da Série SRX. O número máximo de spokes suportados por um hub configurado é específico do modelo do dispositivo da série SRX.

Entender as limitações do AutoVPN

Os seguintes recursos não são suportados para AutoVPN:

  • VPNs baseadas em políticas não são suportadas.

  • O protocolo de roteamento dinâmico RIP não é suportado com túneis AutoVPN.

  • Chaves manuais e chaves automáticas IKE chaves pré-compartilhadas não são suportadas.

  • Não é suportado configurar a encadernação estática do túnel de next-hop (NHTB) no hub para spokes.

  • O multicast não é suportado.

  • O tipo IKE de usuário ID do grupo não é suportado com um endereço IP como IKE ID.

  • Quando o tipo de IKE de ID é usado, a ID IKE não deve se sobrepor a outros IKE gateways configurados na mesma interface externa.

Entender a AutoVPN com seletores de tráfego

Os hubs AutoVPN podem ser configurados com vários seletos de tráfego para proteger o tráfego de spokes. Esse recurso oferece os seguintes benefícios:

  • Uma única configuração de VPN pode suportar muitos colegas diferentes.

  • Os colegas de VPN podem ser dispositivos não SRX.

  • Um único peer pode estabelecer vários túneis com a mesma VPN.

  • Um número maior de túneis pode ser suportado do que com AutoVPN com protocolos de roteamento dinâmicos.

A começar pelo Junos OS Release 17.4R1, as redes AutoVPN que usam interfaces de túnel seguras no modo ponto a ponto dar suporte a endereços IPv6 para seletores de tráfego e IKE peers.

Quando o túnel hub-to-spoke é estabelecido, o hub usa a inserção automática de roteamento (ARI),conhecida nas versões anteriores como inserção reversa da rota (RRI), para inserir a rota no prefixo spoke em sua tabela de roteamento. A rota DOI pode ser importada para protocolos de roteamento e distribuída para a rede de núcleo.

A autoVPN com seletores de tráfego pode ser configurada com a interface de túnel seguro (st0) no modo ponto a ponto, tanto para IKEv1 como para IKEv2.

Protocolos de roteamento dinâmico não são suportados em interfaces st0 quando seletores de tráfego estão configurados.

Observe as seguintes ressalvas ao configurar o AutoVPN com seletores de tráfego:

  • Protocolos de roteamento dinâmico não são suportados por seletores de tráfego com interfaces st0 no modo ponto a ponto.

  • O payload de configuração do Auto Discovery VPN e do IKEv2 não pode ser configurado com AutoVPN com seletores de tráfego.

  • Os raios-x podem ser dispositivos não SRX; entretanto, observe as seguintes diferenças:

    • No IKEv2, uma fala da Série NÃO SRX pode propor vários seletos de tráfego em uma única negociação de SA. Esse não é compatível com dispositivos da Série SRX, e a negociação é recusada.

    • Uma fala da Série NÃO SRX pode identificar portas ou protocolos específicos para uso do seletor de tráfego. Portas e protocolos não são compatíveis com seletores de tráfego em dispositivos da Série SRX, e a negociação é recusada.

Entender a autenticação spoke em implantações de AutoVPN

Nas implantações do AutoVPN, os dispositivos hub e spoke devem ter certificados PKI válidos de X.509 carregados. Você pode usar o show security pki local-certificate detail comando para exibir informações sobre os certificados carregados em um dispositivo.

Este tópico aborda a configuração no hub que permite autenticar e se conectar ao hub:

Configuração IKE de ID em grupo no hub

O recurso IKE ID do grupo permite que vários dispositivos spoke compartilhem uma IKE configuração no hub. A identificação do titular do certificado, nos campos de assunto ou de assunto alternativos no certificado X.509 de cada spoke, deve conter uma parte comum a todos os spokes; a parte comum da identificação do certificado é especificada para IKE configuração no hub.

Por exemplo, a IKE ID pode ser configurada no hub para identificar spokes com os nomes example.net de device1.example.netdevice2.example.net host, e device3.example.net . O certificado de cada spoke deve conter uma identidade de nome de host no campo de assunto alternativo com na parte direita da maior parte do example.net campo; por exemplo, device1.example.net . Neste exemplo, todos os spokes usam essa identidade de nome de host em seu payload IKE ID. Durante IKE negociação, a IKE ID de um spoke é usada para combinar com a parte comum do IKE de peer configurado no hub. Um certificado válido autentica a fala.

A parte comum da identificação do certificado pode ser uma das seguintes:

  • Um nome de host parcial na parte direita da maior parte do campo de assunto alternativo do certificado, por example.net exemplo.

  • Um endereço de e-mail parcial na parte direita da maior parte do campo de assuntos alternativos do certificado, por @example.net exemplo.

  • Uma string de contêiner, um conjunto de caracteres-curinga ou ambos para combinar os campos de assunto do certificado. Os campos de assunto contêm detalhes do titular do certificado digital no formato Abstract Sintaxe Notation One (ASN.1) em nome distinto (DN). Os campos podem incluir organização, unidade organizacional, país, localização ou nome comum.

    Para configurar uma ID IKE grupo para combinar campos de assunto em certificados, você pode especificar os seguintes tipos de combinações de identidade:

    • Contêiner — o hub autentica a ID IKE spoke se os campos de assunto do certificado spoke combinarem exatamente com os valores configurados no hub. Várias entradas podem ser especificadas para cada campo de assunto (por exemplo, ou=eng,ou=sw ). A ordem dos valores nos campos deve corresponder.

    • Wildcard — o hub autentica a ID IKE spoke se os campos de assunto do certificado spoke corresponderem aos valores configurados no hub. A combinação de caracteres curinga tem suporte para apenas um valor por campo (por exemplo, ou=engou=sw ou ou=eng,ou=sw não). A ordem dos campos é inconseqüente.

O exemplo a seguir configura uma ID IKE grupo com o nome parcial de host no campo example.net de assuntos alternativos do certificado.

Neste exemplo, é a parte comum da identificação do example.net nome do host usada em todos os spokes. Todos os certificados X.509 nos spokes devem conter uma identidade de nome de host no campo de assuntos alternativos com a parte example.net mais direita. Todos os spokes devem usar a identidade do nome do host em seu payload IKE ID.

O exemplo a seguir configura uma ID IKE grupo com wildcards para combinar os valores na unidade organizacional e nos campos de assunto da organização salesexample do certificado.

Neste exemplo, os campos são a parte comum do campo de assunto nos ou=sales,o=example certificados esperados dos spokes. Durante IKE negociação, se um spoke apresentar um certificado com os campos de assunto em seu certificado, a autenticação terá sucesso e cn=alice,ou=sales,o=example o túnel será estabelecido. Caso um spoke apresente um certificado com os campos de assunto em seu certificado, o certificado é recusado pelo hub como a unidade cn=thomas,ou=engineer,o=example de organização deve ser sales .

Exceto uma conexão spoke

Para excluir uma fala específica da conexão com o hub, o certificado para esse spoke deve ser anulado. O hub precisa recuperar a lista de revogamento de certificados (CRL) mais recente do CA que contém o número de série do certificado revogado. Em seguida, o hub recusará uma conexão VPN do spoke revogado. Até que o CRL mais recente esteja disponível no hub, o hub pode continuar a estabelecer um túnel a partir do spoke revogado. Para obter mais informações, consulte Entender o protocolo de status do certificado on-line e as listas de revogação do certificado e entender os perfis de autoridade do certificado.

Visão geral da configuração do AutoVPN

As etapas a seguir descreverão as tarefas básicas para configurar o AutoVPN nos dispositivos hub-and-spoke. O hub AutoVPN está configurado uma vez para todos os spokes atuais e novos.

Para configurar o hub AutoVPN:

  1. Inscreva um CA e o certificado local no dispositivo.
  2. Crie uma interface de túnel (st0) segura e configure-a no modo ponto a multipoint.
  3. Configure uma política de IKE única.
  4. Configure um IKE gateway com uma ID IKE grupo comum a todos os spokes.
  5. Configure uma única política e VPN IPsec.
  6. Configure um protocolo de roteamento dinâmico.

Para configurar um dispositivo spoke AutoVPN da Série SRX:

  1. Inscreva um CA e o certificado local no dispositivo.

  2. Crie uma interface st0 e configure-a no modo ponto a multipoint.

  3. Configure uma IKE de segurança para IKE a política de segurança configurada no hub.

  4. Configure um IKE gateway com uma ID para combinar com a ID IKE grupo configurada no hub.

  5. Configure uma política IPsec para combinar com a política IPsec configurada no hub.

  6. Configure um protocolo de roteamento dinâmico.

Exemplo: Configuração de AutoVPN básica com iBGP

Este exemplo mostra como configurar um hub AutoVPN para atuar como um único ponto de rescisão e, em seguida, configurar dois raios para atuar como túneis para locais remotos. Este exemplo configura o iBGP para encaminhamento de pacotes por meio dos túneis VPN.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três dispositivos da Série SRX suportados como hub e spokes AutoVPN

  • Lançamento do Junos OS 12.1X44-D10 e depois com suporte ao AutoVPN

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações necessárias (como a senha do desafio) ao enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhamento de pacotes pelos túneis VPN. Para obter mais informações sobre requisitos específicos para um protocolo de roteamento dinâmico, consulte a visão geral dos protocolos de roteamento.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e as configurações posteriores de dois spokes.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Registro de Certificados Simples (SCEP). Os certificados para os spokes contêm o valor "SLT" da unidade organizacional (OU) no campo do assunto; o hub está configurado com uma ID IKE grupo para combinar com o valor "SLT" no campo OU.

Os porta-vozes estabelecem conexões IPsec VPN com o hub, o que permite que eles se comuniquem entre si, além de recursos de acesso no hub. As opções de túnel de fase 1 e 2 IKE configuradas no hub AutoVPN, e todos os spokes devem ter os mesmos valores. Tabela 3 mostra as opções usadas neste exemplo.

Tabela 3: Opções de Fase 1 e Fase 2 para Configurações de AutoVPN Hub e Spoke

Opção

Valor

IKE proposta:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 128 CBC

IKE política:

Modo

Principal

Proposta do IPsec:

Protocolo

Esp

Algoritmo de autenticação

HMAC MD5 96

Algoritmo de criptografia

DES CBC

Política IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS só aceita um único nível de hierarquia de certificados.

Tabela 4 mostra as opções configuradas no hub e em todos os spokes.

Tabela 4: Configuração de AutoVPN para Hub e All Spokes

Opção

Hub

Todos os spokes

IKE gateway:

Endereço IP remoto

Dinâmico

1.1.1.1

ID IKE remoto

Nome distinto (DN) no certificado da spoke com a string no campo da unidade SLT organizacional (OU)

DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado spoke's

Interface externa

ge-0/0/1.0

Falei 1: fe-0/0/1.0

Falei 2: ge-0/0/1.0

Vpn:

Interface bind

st0.0

st0.0

Estabelecer túneis

(não configurado)

Imediatamente no commit de configuração

Tabela 5 mostra as opções de configuração diferentes em cada spoke.

Tabela 5: Comparação entre as configurações spoke

Opção

Spoke 1

Spoke 2

interface st0.0

10.10.10.2/24

10.10.10.3/24

Interface para rede interna

(fe-0.0/4.0) 60.60.60.1/24

(fe-0.0/4.0) 70.70.70.1/24

Interface para Internet

(fe-0/0/1.0) 2.2.2.1/30

(ge-0/0/1.0) 3.3.3.1/30

As informações de roteamento de todos os dispositivos são trocadas por túneis VPN.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Consulte a visão geral das políticas de segurança.

Topologia

Figura 1 mostra neste exemplo os dispositivos da Série SRX configurados para AutoVPN.

Figura 1: Implantação básica de AutoVPN com iBGPImplantação básica de AutoVPN com iBGP

Configuração

Para configurar o AutoVPN, realize essas tarefas:

A primeira seção descreve como obter certificados CA e locais on-line usando o Protocolo de Inscrição de Certificados Simples (SCEP) nos dispositivos de hub e spoke.

Inscrever certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com SCEP no hub:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 1:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT . A IKE configuração mais avançada do hub inclui ou=SLT identificar o spoke.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 2:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT . A IKE configuração mais avançada do hub inclui ou=SLT identificar o spoke.

Configuração do hub

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 1

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 1:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 2

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 2:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar o status IKE Fase 1

Propósito

Verificar o status IKE fase 1.

Ação

Do modo operacional, insira o show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todas as SAs IKE Fase 1. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar no hub e nos spokes.

Verificação do status da fase 2 do IPsec

Propósito

Verificar o status IPsec Phase 2.

Ação

Do modo operacional, insira o security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todas as SAs IKE Fase 2. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta da fase 2 devem combinar no hub e nos spokes.

Verificar túneis de next-hop IPsec

Propósito

Verificar os túneis de next-hop IPsec.

Ação

Do modo operacional, insira o show security ipsec next-hop-tunnels comando.

Significado

Os gateways de next-hop são os endereços IP para st0 as interfaces dos spokes. O próximo salto deve ser associado ao nome VPN IPsec correto.

Verificação de BGP

Propósito

Verifique se BGP referencia os endereços IP das st0 interfaces dos spokes.

Ação

Do modo operacional, insira o show bgp summary comando.

Verificar rotas aprendidas

Propósito

Verificar se as rotas para os spokes foram aprendidas.

Ação

Do modo operacional, insira o show route 60.60.60.0 comando.

Do modo operacional, insira o show route 70.70.70.0 comando.

Exemplo: Configuração de AutoVPN básica com iBGP para tráfego IPv6

Este exemplo mostra como configurar um hub AutoVPN para atuar como um único ponto de rescisão e, em seguida, configurar dois raios para atuar como túneis para locais remotos. Este exemplo configura o AutoVPN para ambiente IPv6 usando iBGP para encaminhamento de pacotes pelos túneis VPN.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três dispositivos da Série SRX suportados como hub e spokes AutoVPN.

  • Lançamento do Junos OS 18.1R1 e posteriores lançamentos.

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações necessárias (como a senha do desafio) ao enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhamento de pacotes pelos túneis VPN. Para obter mais informações sobre requisitos específicos para um protocolo de roteamento dinâmico, consulte a visão geral dos protocolos de roteamento.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e as configurações posteriores de dois spokes.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Registro de Certificados Simples (SCEP). Os certificados para os spokes contêm o valor "SLT" da unidade organizacional (OU) no campo do assunto; o hub está configurado com uma ID IKE grupo para combinar com o valor "SLT" no campo OU.

Os porta-vozes estabelecem conexões IPsec VPN com o hub, o que permite que eles se comuniquem entre si, além de recursos de acesso no hub. As opções de túnel de fase 1 e 2 IKE configuradas no hub AutoVPN, e todos os spokes devem ter os mesmos valores. Tabela 6 mostra as opções usadas neste exemplo.

Tabela 6: Opções de Fase 1 e Fase 2 para Configurações de AutoVPN Hub e Spoke

Opção

Valor

IKE proposta:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticação

SHA-384

Algoritmo de criptografia

AES 256 CBC

IKE política:

Modo

Principal

Proposta do IPsec:

Protocolo

Esp

Segundos de vida

3000

Algoritmo de criptografia

AES 256 GCM

Política IPsec:

Grupo Perfect Forward Secrecy (PFS)

19

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS só aceita um único nível de hierarquia de certificados.

Tabela 7 mostra as opções configuradas no hub e em todos os spokes.

Tabela 7: Configuração de AutoVPN para Hub e All Spokes

Opção

Hub

Todos os spokes

IKE gateway:

Endereço IP remoto

Dinâmico

2001:db8:2000::1

ID IKE remoto

Nome distinto (DN) no certificado da spoke com a string no campo da unidade SLT organizacional (OU)

DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado spoke's

Interface externa

ge-0/0/0

Falei 1: ge-0/0/0.0

Falei 2: ge-0/0/0.0

Vpn:

Interface bind

st0.1

st0.1

Estabelecer túneis

(não configurado)

estabelecer túneis no tráfego

Tabela 8 mostra as opções de configuração diferentes em cada spoke.

Tabela 8: Comparação entre as configurações spoke

Opção

Spoke 1

Spoke 2

interface st0.0

2001:db8:7000::2/64

2001:db8:7000::3/64

Interface para rede interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interface para Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

As informações de roteamento de todos os dispositivos são trocadas por túneis VPN.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Consulte a visão geral das políticas de segurança.

Topologia

Figura 2 mostra neste exemplo os dispositivos da Série SRX configurados para AutoVPN.

Figura 2: Implantação básica de AutoVPN com iBGPImplantação básica de AutoVPN com iBGP

Configuração

Para configurar o AutoVPN, realize essas tarefas:

A primeira seção descreve como obter certificados CA e locais on-line usando o Protocolo de Inscrição de Certificados Simples (SCEP) nos dispositivos de hub e spoke.

Inscrever certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com SCEP no hub:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 1:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT . A IKE configuração mais avançada do hub inclui ou=SLT identificar o spoke.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 2:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT . A IKE configuração mais avançada do hub inclui ou=SLT identificar o spoke.

Configuração do hub

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 1

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 1:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 2

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 2:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do IKE status

Propósito

Verificar o status IKE dados.

Ação

Do modo operacional, insira o show security ike sa comando.

Significado

O show security ike sa comando lista todas as SAs IKE Fase 1. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar no hub e nos spokes.

Verificação do status do IPsec

Propósito

Verificar o status IPsec.

Ação

Do modo operacional, insira o show security ipsec sa comando.

Significado

O show security ipsec sa comando lista todas as SAs IKE Fase 2. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta da fase 2 devem combinar no hub e nos spokes.

Verificar túneis de next-hop IPsec

Propósito

Verificar os túneis de next-hop IPsec.

Ação

Do modo operacional, insira o show security ipsec next-hop-tunnels comando.

Significado

Os gateways de next-hop são os endereços IP para st0 as interfaces dos spokes. O próximo salto deve ser associado ao nome VPN IPsec correto.

Verificação de BGP

Propósito

Verifique se BGP referencia os endereços IP das st0 interfaces dos spokes.

Ação

Do modo operacional, insira o show bgp summary comando.

Exemplo: Configuração de AutoVPN com iBGP e ECMP

Este exemplo mostra como configurar dois túneis IPsec VPN entre um hub AutoVPN e um spoke. Este exemplo configura o iBGP com um multipath de custo igual (ECMP) para encaminhamento de pacotes pelos túneis vpn.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois dispositivos da Série SRX suportados como hub AutoVPN e spoke

  • Lançamento do Junos OS 12.1X44-D10 e depois com suporte ao AutoVPN

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações necessárias (como a senha do desafio) ao enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhamento de pacotes pelos túneis VPN.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e uma conversa com dois túneis IPsec VPN.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Registro de Certificados Simples (SCEP). Os certificados estão inscritos no hub e na fala de cada túnel IPsec VPN. Um dos certificados da spoke contém o valor "SLT" (Unidade organizacional) em nome distinto (DN); o hub está configurado com uma ID IKE grupo para combinar com o valor "SLT" no campo OU. O outro certificado para spoke contém o valor de OU "SBU" na DN; o hub está configurado com uma ID IKE grupo para combinar com o valor "SBU" no campo OU.

A spoke estabelece conexões IPsec VPN com o hub, o que lhe permite acessar recursos no hub. As opções de túnel de fase 1 e 2 IKE configuradas no hub AutoVPN, e o spoke deve ter os mesmos valores. Tabela 9 mostra as opções usadas neste exemplo.

Tabela 9: Opções de fase 1 e 2 para configurações de AutoVPN Hub e Spoke iBGP ECMP

Opção

Valor

IKE proposta:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 128 CBC

IKE política:

Modo

Principal

Proposta do IPsec:

Protocolo

Esp

Algoritmo de autenticação

HMAC MD5 96

Algoritmo de criptografia

DES CBC

Política IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS só aceita um único nível de hierarquia de certificados.

Tabela 10 mostra as opções configuradas no hub e no spoke.

Tabela 10: Configuração de AutoVPN iBGP ECMP para Hub e Spoke 1

Opção

Hub

Spoke 1

IKE gateway:

Endereço IP remoto

hub-to-spoke-gw-1: Dinâmico

hub-to-spoke-gw-2: Dinâmico

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

ID IKE remoto

hub-to-spoke-gw-1: DN no certificado spoke com a string SLT no campo OU

hub-to-spoke-gw-2: DN no certificado spoke com a string SBU no campo OU

spoke-to-hub-gw-1: DN no certificado do hub

spoke-to-hub-gw-2: DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado spoke's

Interface externa

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

Vpn:

Interface bind

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Estabelecer túneis

(não configurado)

Imediatamente no commit de configuração

As informações de roteamento de todos os dispositivos são trocadas por túneis VPN.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Consulte a visão geral das políticas de segurança.

Topologia

Figura 3 mostra neste exemplo os dispositivos da Série SRX configurados para AutoVPN.

Figura 3: Implantação de AutoVPN com iBGP e ECMPImplantação de AutoVPN com iBGP e ECMP

Configuração

Para configurar o AutoVPN, realize essas tarefas:

A primeira seção descreve como obter certificados CA e locais on-line usando o Protocolo de Inscrição de Certificados Simples (SCEP) nos dispositivos de hub e spoke.

Inscrever certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com SCEP no hub:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves para cada certificado.

  4. Inscreva os certificados locais.

  5. Verificar os certificados locais.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 1:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves para cada certificado.

  4. Inscreva os certificados locais.

  5. Verificar os certificados locais.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT para Local1 SBU e Local2. As IKE configurações mais avançadas do hub OU=SLT incluem e OU=SBU identificar o spoke.

Configuração do hub

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 1

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 1:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar o status IKE Fase 1

Propósito

Verificar o status IKE fase 1.

Ação

Do modo operacional, insira o show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todas as SAs IKE Fase 1. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar entre o hub e o spoke.

Verificação do status da fase 2 do IPsec

Propósito

Verificar o status IPsec Phase 2.

Ação

Do modo operacional, insira o security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todas as SAs IKE Fase 2. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta da fase 2 devem combinar entre o hub e o spoke.

Verificar túneis de next-hop IPsec

Propósito

Verificar os túneis de next-hop IPsec.

Ação

Do modo operacional, insira o show security ipsec next-hop-tunnels comando.

Significado

Os gateways de next-hop são os endereços IP para st0 as interfaces dos spokes. O próximo salto deve ser associado ao nome VPN IPsec correto.

Verificação de BGP

Propósito

Verifique se BGP as referências dos endereços IP para st0 as interfaces do spoke.

Ação

Do modo operacional, insira o show bgp summary comando.

Verificar rotas aprendidas

Propósito

Verificar se as rotas para o spoke foram aprendidas.

Ação

Do modo operacional, insira o show route 60.60.60.0 detail comando.

Verificação da instalação da rota na tabela de encaminhamento

Propósito

Verificar se as rotas para o spoke foram instaladas na tabela de encaminhamento.

Ação

Do modo operacional, insira o show route forwarding-table matching 60.60.60.0 comando.

Exemplo: Configuração de AutoVPN com túneis iBGP e Active-Backup

Este exemplo mostra como configurar túneis VPN Ativos e de backup IPsec entre um hub AutoVPN e um spoke. Este exemplo configura o iBGP para encaminhamento de tráfego pelos túneis VPN.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois dispositivos da Série SRX suportados como hub AutoVPN e spoke

  • Lançamento do Junos OS 12.1X44-D10 e depois com suporte ao AutoVPN

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações necessárias (como a senha do desafio) ao enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhamento de pacotes pelos túneis VPN.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e uma conversa com dois túneis IPsec VPN.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Registro de Certificados Simples (SCEP). Os certificados estão inscritos no hub e na fala de cada túnel IPsec VPN. Um dos certificados da spoke contém o valor "SLT" (Unidade organizacional) em nome distinto (DN); o hub está configurado com uma ID IKE grupo para combinar com o valor "SLT" no campo OU. O outro certificado para spoke contém o valor de OU "SBU" na DN; o hub está configurado com uma ID IKE grupo para combinar com o valor "SBU" no campo OU.

A spoke estabelece conexões IPsec VPN com o hub, o que lhe permite acessar recursos no hub. As opções de túnel da fase 1 e IKE 2ª fase configuradas no hub AutoVPN, e o spoke deve ter os mesmos valores. Tabela 11 mostra as opções usadas neste exemplo.

Tabela 11: Opções de fase 1 e fase 2 para configurações de túnel ativo-backup do iBGP e do Hub autoVPN

Opção

Valor

IKE proposta:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 128 CBC

IKE política:

Modo

Principal

Proposta do IPsec:

Protocolo

Esp

Algoritmo de autenticação

HMAC MD5 96

Algoritmo de criptografia

DES CBC

Política IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS só aceita um único nível de hierarquia de certificados.

Tabela 12 mostra as opções configuradas no hub e no spoke.

Tabela 12: Configuração de túnel ativo-backup do AutoVPN IBGP para Hub e Spoke 1

Opção

Hub

Spoke 1

IKE gateway:

Endereço IP remoto

hub-to-spoke-gw-1: Dinâmico

hub-to-spoke-gw-2: Dinâmico

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

ID IKE remoto

hub-to-spoke-gw-1: DN no certificado spoke com a string SLT no campo OU

hub-to-spoke-gw-2: DN no certificado spoke com a string SBU no campo OU

spoke-to-hub-gw-1: DN no certificado do hub

spoke-to-hub-gw-2: DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado spoke's

Interface externa

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

Vpn:

Interface bind

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Monitor de VPN

hub-to-spoke-vpn-1: ge-0/0/1.0 (interface de origem)

hub-to-spoke-vpn-2: ge-0/0/2.0 (interface de origem)

spoke-to-hub-1: 1.1.1.1 (IP de destino)

spoke-to-hub-2: 1.1.2.1 (IP de destino)

Estabelecer túneis

(não configurado)

Imediatamente no commit de configuração

As informações de roteamento de todos os dispositivos são trocadas por túneis VPN.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Consulte a visão geral das políticas de segurança.

Topologia

Figura 4 mostra neste exemplo os dispositivos da Série SRX configurados para AutoVPN.

Figura 4: Implantação de AutoVPN com túneis iBGP e Active-BackupImplantação de AutoVPN com túneis iBGP e Active-Backup

Neste exemplo, dois túneis IPsec VPN são estabelecidos entre o hub e o spoke 1. As informações de roteamento são trocadas por sessões de iBGP em cada túnel. O prefixo mais longo que combina com a rota para 60.60.60.0/24 é pela interface st0.0 no hub. Assim, o túnel principal da rota é pelas interfaces st0.0 no hub e spoke 1. A rota padrão é pelo túnel de backup nas interfaces st0.1 no hub e spoke 1.

O monitoramento de VPN verifica o status dos túneis. Caso haja um problema com o túnel principal (por exemplo, o gateway de túnel remoto não é alcançável), o status do túnel muda para baixo e os dados destinados a 60.60.60.0/24 são recaminhados pelo túnel de backup.

Configuração

Para configurar o AutoVPN, realize essas tarefas:

A primeira seção descreve como obter certificados CA e locais on-line usando o Protocolo de Inscrição de Certificados Simples (SCEP) nos dispositivos de hub e spoke.

Inscrever certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com SCEP no hub:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves para cada certificado.

  4. Inscreva os certificados locais.

  5. Verificar os certificados locais.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 1:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves para cada certificado.

  4. Inscreva os certificados locais.

  5. Verificar os certificados locais.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT para Local1 SBU e Local2. As IKE configurações mais avançadas do hub OU=SLT incluem e OU=SBU identificar o spoke.

Configuração do hub

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 1

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 1:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos , , , show policy-optionsshow protocolsshow routing-optionsshow security ike , show security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar o IKE status da fase 1 (ambos os túneis estão ativas)

Propósito

Verificar o status IKE Fase 1 quando ambos os túneis VPN IPSec estão ativas.

Ação

Do modo operacional, insira o show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todas as SAs IKE Fase 1. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar entre o hub e o spoke.

Verificar o status da fase 2 do IPsec (ambos os túneis estão ativas)

Propósito

Verificar o status da Fase 2 do IPsec quando ambos os túneis IPsec VPN estão ativas.

Ação

Do modo operacional, insira o security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todas as SAs IKE Fase 2. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta da fase 2 devem combinar entre o hub e o spoke.

Verificar túneis de next-hop IPsec (ambos os túneis estão ativas)

Propósito

Verificar os túneis de next-hop IPsec.

Ação

Do modo operacional, insira o show security ipsec next-hop-tunnels comando.

Significado

Os gateways de next-hop são os endereços IP para st0 as interfaces do spoke. O próximo salto deve ser associado ao nome VPN IPsec correto.

Verificar a BGP (ambos os túneis estão ativas)

Propósito

Verifique se BGP referências dos endereços IP para as interfaces do spoke quando ambos os túneis st0 IPsec VPN estão ativas.

Ação

Do modo operacional, insira o show bgp summary comando.

Verificar rotas aprendidas (ambos os túneis estão ativas)

Propósito

Verificar se as rotas para o spoke foram aprendidas quando ambos os túneis estão ativas. A rota para 60.60.60.0/24 é pela interface st0.0 e a rota padrão é pela interface st0.1.

Ação

Do modo operacional, insira o show route 60.60.60.0 comando.

Do modo operacional, insira o show route 0.0.0.0 comando.

Verificar o status IKE fase 1 (o túnel principal está inovado)

Propósito

Verificar o status IKE Fase 1 quando o túnel principal estiver ino mesmo.

Ação

Do modo operacional, insira o show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todas as SAs IKE Fase 1. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar entre o hub e o spoke.

Verificar o status da fase 2 do IPsec (o túnel principal está inopinado)

Propósito

Verificar o status da Fase 2 do IPsec quando o túnel principal estiver inopinado.

Ação

Do modo operacional, insira o security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todas as SAs IKE Fase 2. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta da fase 2 devem combinar entre o hub e o spoke.

Verificar túneis de next-hop IPsec (o túnel principal está inopinado)

Propósito

Verificar o túnel de next-hop IPsec.

Ação

Do modo operacional, insira o show security ipsec next-hop-tunnels comando.

Significado

Os gateways de next-hop são os endereços IP para st0 as interfaces do spoke. O próximo salto deve ser associado ao nome VPN IPsec correto, neste caso o túnel de VPN de backup.

Verificar a BGP (o túnel principal está inovado)

Propósito

Verifique se BGP referências dos endereços IP para st0 as interfaces do spoke quando o túnel principal está inovado.

Ação

Do modo operacional, insira o show bgp summary comando.

Verificar rotas aprendidas (o túnel principal está abaixo)

Propósito

Verificar se as rotas para o spoke foram aprendidas quando o túnel principal está abaixo. Tanto a rota para 60.60.60.0/24 como a rota padrão passam pela interface st0.1.

Ação

Do modo operacional, insira o show route 60.60.60.0 comando.

Do modo operacional, insira o show route 0.0.0.0 comando.

Exemplo: Configurando a AutoVPN básica com OSPF

Este exemplo mostra como configurar um hub AutoVPN para atuar como um único ponto de rescisão e, em seguida, configurar dois raios para atuar como túneis para locais remotos. Este exemplo configura a OSPF para encaminhamento de pacotes por meio dos túneis VPN.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três dispositivos da Série SRX suportados como hub e spokes AutoVPN

  • Lançamento do Junos OS 12.1X44-D10 e depois com suporte ao AutoVPN

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações necessárias (como a senha do desafio) ao enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhamento de pacotes pelos túneis VPN.

Visão geral

Este exemplo mostra a configuração de um hub AutoVPN e as configurações posteriores de dois spokes.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Registro de Certificados Simples (SCEP). Os certificados para os spokes contêm o valor "SLT" da unidade organizacional (OU) no campo do assunto; o hub está configurado com uma ID IKE grupo para combinar com o valor "SLT" no campo OU.

Os porta-vozes estabelecem conexões IPsec VPN com o hub, o que permite que eles se comuniquem entre si, além de recursos de acesso no hub. As opções de túnel de fase 1 e 2 IKE configuradas no hub AutoVPN, e todos os spokes devem ter os mesmos valores. Tabela 13 mostra as opções usadas neste exemplo.

Tabela 13: Opções de Fase 1 e Fase 2 para Configurações básicas de Hub e Hub autoVPN OSPF Spoke

Opção

Valor

IKE proposta:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticação

SHA-1

Algoritmo de criptografia

AES 128 CBC

IKE política:

Modo

Principal

Proposta do IPsec:

Protocolo

Esp

Algoritmo de autenticação

HMAC MD5 96

Algoritmo de criptografia

DES CBC

Política IPsec:

Grupo Perfect Forward Secrecy (PFS)

14

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

O Junos OS só aceita um único nível de hierarquia de certificados.

Tabela 14 mostra as opções configuradas no hub e em todos os spokes.

Tabela 14: Configuração de OSPF AutoVPN Basic para Hub e All Spokes

Opção

Hub

Todos os spokes

IKE gateway:

Endereço IP remoto

Dinâmico

1.1.1.1

ID IKE remoto

Nome distinto (DN) no certificado da spoke com a string no campo da unidade SLT organizacional (OU)

DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado spoke's

Interface externa

ge-0/0/1.0

Falei 1: fe-0/0/1.0

Falei 2: ge-0/0/1.0

Vpn:

Interface bind

st0.0

st0.0

Estabelecer túneis

(não configurado)

Imediatamente no commit de configuração

Tabela 15 mostra as opções de configuração diferentes em cada spoke.

Tabela 15: Comparação entre as configurações básicas OSPF Spoke

Opção

Spoke 1

Spoke 2

interface st0.0

10.10.10.2/24

10.10.10.3/24

Interface para rede interna

fe-0.0/4.0: 60.60.60.1/24

fe-0.0/4.0: 70.70.70.1/24

Interface para Internet

fe-0/0/1.0: 2.2.2.1/30

ge-0/0/1.0: 3.3.3.1/30

As informações de roteamento de todos os dispositivos são trocadas por túneis VPN.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Consulte a visão geral das políticas de segurança.

Topologia

Figura 5 mostra neste exemplo os dispositivos da Série SRX configurados para AutoVPN.

Figura 5: Implantação básica de AutoVPN com OSPFImplantação básica de AutoVPN com OSPF

Configuração

Para configurar o AutoVPN, realize essas tarefas:

A primeira seção descreve como obter certificados CA e locais on-line usando o Protocolo de Inscrição de Certificados Simples (SCEP) nos dispositivos de hub e spoke.

Inscrever certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com SCEP no hub:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 1:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT . A IKE configuração mais avançada do hub inclui ou=SLT identificar o spoke.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 2:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT . A IKE configuração mais avançada do hub inclui ou=SLT identificar o spoke.

Configuração do hub

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos show protocols , , show routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 1

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 1:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos show protocols , , show routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 2

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 2:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos show protocols , , show routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar o status IKE Fase 1

Propósito

Verificar o status IKE fase 1.

Ação

Do modo operacional, insira o show security ike security-associations comando.

Significado

O show security ike security-associations comando lista todas as SAs IKE Fase 1. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar no hub e nos spokes.

Verificação do status da fase 2 do IPsec

Propósito

Verificar o status IPsec Phase 2.

Ação

Do modo operacional, insira o security ipsec security-associations comando.

Significado

O show security ipsec security-associations comando lista todas as SAs IKE Fase 2. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta da fase 2 devem combinar no hub e nos spokes.

Verificar túneis de next-hop IPsec

Propósito

Verificar os túneis de next-hop IPsec.

Ação

Do modo operacional, insira o show security ipsec next-hop-tunnels comando.

Significado

Os gateways de next-hop são os endereços IP para st0 as interfaces dos spokes. O próximo salto deve ser associado ao nome VPN IPsec correto.

Verificação de OSPF

Propósito

Verifique se OSPF referencia os endereços IP para st0 as interfaces dos spokes.

Ação

Do modo operacional, insira o show ospf neighbor comando.

Verificar rotas aprendidas

Propósito

Verificar se as rotas para os spokes foram aprendidas.

Ação

Do modo operacional, insira o show route 60.60.60.0 comando.

Do modo operacional, insira o show route 70.70.70.0 comando.

Exemplo: Configuração de AutoVPN com OSPFv3 para tráfego IPv6

Este exemplo mostra como configurar um hub AutoVPN para atuar como um único ponto de rescisão e, em seguida, configurar dois raios para atuar como túneis para locais remotos. Este exemplo configura o AutoVPN para ambiente IPv6 usando OSPFv3 para encaminhamento de pacotes pelos túneis VPN.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Três dispositivos da Série SRX suportados como hub e spokes AutoVPN.

  • Lançamento do Junos OS 18.1R1 e posteriores lançamentos.

Antes de começar:

  • Obtenha o endereço da autoridade de certificado (CA) e as informações necessárias (como a senha do desafio) ao enviar solicitações de certificados locais.

Você deve estar familiarizado com o protocolo de roteamento dinâmico usado para encaminhamento de pacotes pelos túneis VPN.

Visão geral

Este exemplo mostra a configuração de uma AutoVPN com protocolo de roteamento OSPFv3 no hub e as configurações posteriores de dois spokes.

Neste exemplo, a primeira etapa é inscrever certificados digitais em cada dispositivo usando o Protocolo de Registro de Certificados Simples (SCEP). Os certificados para os spokes contêm o valor "SLT" da unidade organizacional (OU) no campo do assunto; o hub está configurado com uma ID IKE grupo para combinar com o valor "SLT" no campo OU.

Os porta-vozes estabelecem conexões IPsec VPN com o hub, o que permite que eles se comuniquem entre si, além de recursos de acesso no hub. As opções de túnel de fase 1 e 2 IKE configuradas no hub AutoVPN, e todos os spokes devem ter os mesmos valores. Tabela 16 mostra as opções usadas neste exemplo.

Tabela 16: Opções de Fase 1 e Fase 2 para Configurações básicas de OSPFv3 e Hub autoVPN

Opção

Valor

IKE proposta:

Método de autenticação

Certificados digitais RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticação

SHA-384

Algoritmo de criptografia

AES 256 CBC

IKE política:

Modo

Principal

Proposta do IPsec:

Protocolo

Esp

Segundos de vida

3000

Algoritmo de criptografia

AES 256 GCM

Política IPsec:

Grupo Perfect Forward Secrecy (PFS)

19

A mesma autoridade de certificado (CA) está configurada em todos os dispositivos.

Tabela 17 mostra as opções configuradas no hub e em todos os spokes.

Tabela 17: Configuração AutoVPN OSPFv3 para Hub e All Spokes

Opção

Hub

Todos os spokes

IKE gateway:

Endereço IP remoto

Dinâmico

2001:db8:2000::1

ID IKE remoto

Nome distinto (DN) no certificado da spoke com a string no campo da unidade SLT organizacional (OU)

DN no certificado do hub

Local IKE ID

DN no certificado do hub

DN no certificado spoke's

Interface externa

ge-0/0/0

Falei 1: ge-0/0/0.0

Falei 2: ge-0/0/0.0

Vpn:

Interface bind

st0.1

st0.1

Estabelecer túneis

(não configurado)

Imediatamente no commit de configuração

Tabela 18 mostra as opções de configuração diferentes em cada spoke.

Tabela 18: Comparação entre as Configurações Spoke OSPFv3

Opção

Spoke 1

Spoke 2

interface st0.1

2001:db8:7000::2/64

2001:db8:7000::3/64

Interface para rede interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interface para Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

As informações de roteamento de todos os dispositivos são trocadas por túneis VPN.

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Consulte a visão geral das políticas de segurança.

Topologia

Figura 6 mostra neste exemplo os dispositivos da Série SRX configurados para AutoVPN.

Figura 6: Implantação básica de AutoVPN com OSPFv3Implantação básica de AutoVPN com OSPFv3

Configuração

Para configurar o AutoVPN, realize essas tarefas:

A primeira seção descreve como obter certificados CA e locais on-line usando o Protocolo de Inscrição de Certificados Simples (SCEP) nos dispositivos de hub e spoke.

Inscrever certificados de dispositivos com SCEP

Procedimento passo a passo

Para inscrever certificados digitais com SCEP no hub:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 1:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT . A IKE configuração mais avançada do hub inclui ou=SLT identificar o spoke.

Procedimento passo a passo

Para inscrever certificados digitais com SCEP na spoke 2:

  1. Configure a CA.

  2. Inscreva-se no CA certificado.

    Digite yes o aviso para carregar o CA de dados.

  3. Gere um par de chaves.

  4. Inscreva o certificado local.

  5. Verificar o certificado local.

    A unidade organizacional (OU) mostrada no campo do assunto é SLT . A IKE configuração mais avançada do hub inclui ou=SLT identificar o spoke.

Configuração do hub

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar o hub:

  1. Configure as interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos show protocols , , show routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 1

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 1:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos show protocols , , show routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke 2

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar spoke 2:

  1. Configurar interfaces.

  2. Configure o protocolo de roteamento.

  3. Configure as opções da Fase 1.

  4. Configure as opções da Fase 2.

  5. Configurar zonas.

  6. Configure a política de segurança padrão.

  7. Configure o perfil CA de dados.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos show protocols , , show routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do IKE status

Propósito

Verificar o status IKE dados.

Ação

Do modo operacional, insira o show security ike sa comando.

Significado

O show security ike sa comando lista todas as SAs IKE Fase 1. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar no hub e nos spokes.

Verificação do status do IPsec

Propósito

Verificar o status IPsec.

Ação

Do modo operacional, insira o show security ipsec sa comando.

Significado

O show security ipsec sa comando lista todas as SAs IKE Fase 2. Se nenhum SAs for indicado, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta da fase 2 devem combinar no hub e nos spokes.

Verificar túneis de next-hop IPsec

Propósito

Verificar os túneis de next-hop IPsec.

Ação

Do modo operacional, insira o show security ipsec next-hop-tunnels comando.

Significado

Os gateways de next-hop são os endereços IP para st0 as interfaces dos spokes. O próximo salto deve ser associado ao nome VPN IPsec correto.

Verificação do OSPFv3

Propósito

Verificar se o OSPFv3 faz referência aos endereços IP das st0 interfaces dos spokes.

Ação

Do modo operacional, insira o show ospf3 neighbor detail comando.

Hub:

Falei 1:

Falei 2:

Exemplo: Encaminhamento de tráfego por um túnel autoVPN com seletores de tráfego

Este exemplo mostra como configurar seletores de tráfego, em vez de protocolos de roteamento dinâmicos, para encaminhamento de pacotes por meio de um túnel VPN em uma implantação de AutoVPN. Quando os seletores de tráfego estão configurados, a interface de túnel seguro (st0) deve estar no modo ponto a ponto. Os seletores de tráfego estão configurados nos dispositivos hub e spoke.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois dispositivos da Série SRX conectados e configurados em um cluster de chassi. O cluster de chassi é o hub AutoVPN.

  • Um dispositivo da Série SRX configurado como um AutoVPN spoke.

  • Versão do Junos OS 12.3X48-D10 ou mais tarde.

  • Certificados digitais inscritos no hub e os dispositivos spoke que permitem que os dispositivos se autenticam.

Antes de começar:

Visão geral

Neste exemplo, os seletores de tráfego estão configurados no hub e no spoke da AutoVPN. Somente o tráfego que estiver em conformidade com o seletor de tráfego configurado é encaminhado pelo túnel. No hub, o seletor de tráfego está configurado com o endereço IP local 192.0.0.0/8 e o endereço IP remoto 172.0.0.0/8. No spoke, o seletor de tráfego está configurado com o endereço IP local 172.0.0.0/8 e o endereço IP remoto 192.0.0.0/8.

Os endereços IP do seletor de tráfego configurados no spoke podem ser um subconjunto dos endereços IP do seletor de tráfego configurados no hub. Isso é conhecido como combinação flexível de seletor de tráfego.

Determinadas opções de túnel da Fase 1 e da Fase 2 IKE configuradas nos hubs e spokes do AutoVPN devem ter os mesmos valores. Tabela 19 mostra os valores usados neste exemplo:

Tabela 19: Opções de Fase 1 e Fase 2 para hubs e spokes de AutoVPN com seletores de tráfego

Opção

Valor

IKE proposta:

Método de autenticação

rsa-signatures

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticação

sha-1

Algoritmo de criptografia

aes-256-cbc

IKE política:

Modo

Principal

Certificado

certificado local

IKE gateway:

Dinâmico

nome distinto DC=Common_component

IKE tipo de usuário

id IKE grupo

Identidade local

nome distinto

Versão

v1-only

Proposta do IPsec:

Protocolo

Esp

Algoritmo de autenticação

hmac-sha1-96

Algoritmo de criptografia

aes-192-cbc

Vida

3.600 segundos

150.000 quilobytes

Política IPsec:

Grupo Perfect Forward Secrecy (PFS)

group5

Topologia

Figura 7 mostra os dispositivos da Série SRX configurados para este exemplo.

Figura 7: AutoVPN com seletores de tráfego AutoVPN com seletores de tráfego

Configuração

Configuração do hub

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

A partir da versão 15.1X49-D120 Junos OS, você pode configurar a opção de CLI no nível da hierarquia [ ] para manter uma sessão de túnel existente e rejeitar solicitações de negociação para um novo túnel com a mesma ID IKE reject-duplicate-connectionedit security ike gateway gateway-name dynamic de segurança. Por padrão, um túnel existente é derrubado quando um novo túnel com a mesma IKE ID é estabelecido. A opção só é suportada quando ou está configurada para o gateway IKE, e a configuração não reject-duplicate-connectionike-user-type group-ike-id é ike-user-type shared-ike-idaaa access-profile profile-name suportada com essa opção.

Use a opção CLI somente quando você tem certeza de que o restabelecimento de um novo túnel com a mesma IKE reject-duplicate-connection ID deve ser recusado.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o hub:

  1. Configurar interfaces.

  2. Configure as opções da Fase 1.

  3. Configure as opções da Fase 2.

  4. Configurar informações de certificado.

  5. Configure zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ike comandos , show security ipsec , show security pkishow security zonesshow security policies Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do Spoke

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o hub:

  1. Configurar interfaces.

  2. Configure as opções da Fase 1.

  3. Configure as opções da Fase 2.

  4. Configurar informações de certificado.

  5. Configure zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow security ike comandos , show security ipsec , show security pkishow security zonesshow security policies Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação de túneis

Propósito

Verificar se os túneis estão estabelecidos entre o hub e o spoke da AutoVPN.

Ação

Do modo operacional, insira os show security ike security-associations comandos show security ipsec security-associations no hub.

Do modo operacional, insira os show security ike security-associations comandos show security ipsec security-associations no spoke.

Significado

O show security ike security-associations comando lista todas as SAs IKE Fase 1. O show security ipsec security-associations comando lista todas as SAs IKE Fase 2. O hub mostra um túnel ativo à fala, enquanto o spoke mostra um túnel ativo até o hub.

Se nenhum SAs for indicado para IKE Fase 1, então houve um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar entre o hub e o spoke.

Se nenhum SAs for indicado para IKE Fase 2, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta da fase 2 devem combinar entre o hub e o spoke.

Verificação de seletores de tráfego

Propósito

Verificar os seletos de tráfego.

Ação

Do modo operacional, insira show security ipsec traffic-selector interface-name st0.1 o comando no hub.

Do modo operacional, insira show security ipsec traffic-selector interface-name st0.1 o comando no spoke.

Significado

Um seletor de tráfego é um acordo entre IKE peers para permitir o tráfego por um túnel se o tráfego se igualar a um par especificado de endereços locais e remotos. Somente o tráfego que esteja em conformidade com um seletor de tráfego é permitido por meio de uma SA. Os seletores de tráfego são negociados entre o iniciador e o responsável (o hub da Série SRX).

Exemplo: Garantindo a disponibilidade de túneis VPN com AutoVPN e seletores de tráfego

Georedundância é a implantação de vários locais geograficamente distantes para que o tráfego continue a fluír por uma rede de provedores, mesmo se houver uma paralisação de energia, um desastre natural ou outro evento catastrófico que afeta um site. Em uma rede de provedores móveis, vários dispositivos Evolved Node B (eNodeB) podem ser conectados à rede de núcleo por meio de gateways VPN IPsec georreferente em dispositivos da Série SRX. As rotas alternativas para os dispositivos eNodeB são distribuídas para a rede principal usando-se um protocolo de roteamento dinâmico.

Este exemplo configura hubs AutoVPN com vários seletos de tráfego em dispositivos da Série SRX para garantir que haja gateways IPsec VPN georreferente para dispositivos eNodeB. A inserção automática de roteamento (ARI) é usada para inserir rotas automaticamente em direção aos dispositivos eNodeB nas tabelas de roteamento nos hubs. As rotas DOI são distribuídas para a rede principal do provedor por meio BGP.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Dois dispositivos da Série SRX conectados e configurados em um cluster de chassi. O cluster de chassi é o hub A da AutoVPN.

  • Um dispositivo da Série SRX configurado como Hub B de AutoVPN.

  • Versão do Junos OS 12.3X48-D10 ou mais tarde.

  • dispositivos eNodeB que podem estabelecer túneis IPsec VPN com hubs AutoVPN. Os dispositivos eNodeB são fornecedores de equipamentos de rede de terceiros que iniciam um túnel VPN com hubs AutoVPN.

  • Certificados digitais inscritos nos hubs e nos dispositivos eNodeB que permitem que os dispositivos se autenticam.

Antes de começar:

Este exemplo usa o protocolo BGP de roteamento dinâmico para anunciar rotas em direção aos dispositivos eNodeB até a rede de núcleo.

Visão geral

Neste exemplo, dois hubs AutoVPN estão configurados com vários seletos de tráfego em dispositivos da Série SRX para fornecer gateways IPsec VPN georreferente para dispositivos eNodeB. O ARI insere automaticamente rotas nos dispositivos eNodeB nas tabelas de roteamento nos hubs. As rotas DOI são distribuídas para a rede principal do provedor por meio BGP.

Determinadas opções de túnel de fase 1 e Fase 2 IKE configuradas nos hubs AutoVPN e nos dispositivos eNodeB devem ter os mesmos valores. Tabela 20 mostra os valores usados neste exemplo:

Tabela 20: Opções de Fase 1 e Fase 2 para hubs AutoVPN Georedundant

Opção

Valor

IKE proposta:

Método de autenticação

rsa-signatures

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticação

sha-1

Algoritmo de criptografia

aes-256-cbc

IKE política:

Certificado

certificado local

IKE gateway:

Dinâmico

nome distinto DC=Common_component

IKE tipo de usuário

id IKE grupo

Detecção de peers morta

túnel probe-ocioso

Identidade local

nome distinto

Versão

v2-only

Proposta do IPsec:

Protocolo

Esp

Algoritmo de autenticação

hmac-sha1-96

Algoritmo de criptografia

aes-256-cbc

Política IPsec:

Grupo Perfect Forward Secrecy (PFS)

group5

Neste exemplo, a política de segurança padrão que permite todo o tráfego é usada para todos os dispositivos. Políticas de segurança mais restritivas devem ser configuradas para ambientes de produção. Consulte a visão geral das políticas de segurança. Para simplificar, a configuração nos dispositivos da Série SRX permite todos os tipos de tráfego de entrada; essa configuração não é recomendada para implantações de produção.

Topologia

Figura 8 mostra os dispositivos da Série SRX configurados para este exemplo.

Figura 8: Gateways DE VPN IPsec georreferente para dispositivos eNodeBGateways DE VPN IPsec georreferente para dispositivos eNodeB

Configuração

Configuração do hub A

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o hub A:

  1. Configurar interfaces.

  2. Configure as opções da Fase 1.

  3. Configure as opções da Fase 2.

  4. Configure o protocolo BGP roteamento de dados.

  5. Configure opções de roteamento.

  6. Configurar informações de certificado.

  7. Configure zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces show security ike comandos , , show security ipsecshow protocols bgpshow policy-options , show security pkishow security zonesshow security policies Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do hub B

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o hub B:

  1. Configurar interfaces.

  2. Configure as opções da Fase 1.

  3. Configure as opções da Fase 2.

  4. Configure o protocolo BGP roteamento de dados.

  5. Configure opções de roteamento.

  6. Configurar informações de certificado.

  7. Configure zonas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces show security ikeshow security ipsec comandos , show protocols bgp , show security pkishow security zonesshow security policies Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do eNodeB (Configuração de amostra)

Procedimento passo a passo
  1. A configuração do eNodeB neste exemplo é fornecida como referência. As informações detalhadas de configuração do eNodeB estão além do escopo deste documento. A configuração eNodeB deve incluir as seguintes informações:

    • Certificado local (X.509v3) e informações IKE identidade

    • Informações de identidade IKE Série SRX e endereço IP público

    • Propostas da fase 1 e da Fase 2 que se igualam às configurações dos hubs da Série SRX

Resultados

Os dispositivos eNodeB neste exemplo usam software de código aberto StrongSwan para conexões VPN baseadas em IPsec:

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação de túneis nos hubs autoVPN

Propósito

Verificar se os túneis estão estabelecidos entre o hub AutoVPN e os dispositivos eNodeB.

Ação

Do modo operacional, insira os show security ike security-associations comandos show security ipsec security-associations no hub.

Significado

O show security ike security-associations comando lista todas as SAs IKE Fase 1. O show security ipsec security-associations comando lista todas as SAs IKE Fase 2. O hub mostra dois túneis ativos, um para cada dispositivo eNodeB.

Se nenhum SAs for indicado para IKE Fase 1, então houve um problema com o estabelecimento da Fase 1. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 1 devem combinar nos dispositivos hub e eNodeB.

Se nenhum SAs for indicado para IKE Fase 2, haverá um problema com o estabelecimento da Fase 2. Marque os IKE de política de segurança e as configurações da interface externa em sua configuração. Os parâmetros da proposta de fase 2 devem combinar nos dispositivos hub e eNodeB.

Verificação de seletores de tráfego

Propósito

Verificar os seletos de tráfego.

Ação

Do modo operacional, insira o show security ipsec traffic-selector interface-name st0.1 comando.

Significado

Um seletor de tráfego é um acordo entre IKE peers para permitir o tráfego por um túnel se o tráfego se igualar a um par especificado de endereços locais e remotos. Somente o tráfego que esteja em conformidade com um seletor de tráfego é permitido por meio de uma SA. Os seletores de tráfego são negociados entre o iniciador e o responsável (o hub da Série SRX).

Verificar rotas DE ARI

Propósito

Verificar se as rotas DE ARI são adicionadas à tabela de roteamento.

Ação

Do modo operacional, insira o show route comando.

Significado

A inserção automática de roteamento (ARI) insere automaticamente uma rota estática para a rede remota e hosts protegidos por um endpoint de túnel remoto. Uma rota é criada com base no endereço IP remoto configurado no seletor de tráfego. No caso dos seletores de tráfego, o endereço remoto configurado é inserido como uma rota na instância de roteamento associada à interface st0 que está ligada à VPN.

Rotas estáticas para os destinos de eNodeB 30.1.1.0/24 e 50.1.1.0/24 são adicionadas à tabela de roteamento no hub da Série SRX. Essas rotas podem ser alcançadas pela interface st0.1.

Example: Configuring AutoVPN with Pre-Shared Key

This example shows how to configure different IKE preshared key used by the VPN gateway to authenticate the remote peer. Similarly, to configure same IKE preshared key used by the VPN gateway to authenticate the remote peer.

Requirements

This example uses the following hardware and software components:

  • MX240, MX480, and MX960 with MX-SPC3 and Junos OS Release 21.1R1 that support AutoVPN
  • or SRX5000 line of devices with SPC3 and Junos OS Release 21.2R1 that support AutoVPN
  • or vSRX running iked and Junos OS Release 21.2R1 that support AutoVPN

Configure different IKE preshared key

To configure different IKE preshared key that the VPN gateway uses to authenticate the remote peer, perform these tasks.

  1. Configure the seeded preshared for IKE policy in the device with AutoVPN hub.

    or

    For example:

    or

  2. Display the pre-shared key for remote peer using gateway name and user-id.

    For example:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Configure the generated PSK ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" in step 2) in the ike policy on the remote peer device.

    For example:

  4. (Optional) To bypass the IKE ID validation and allow all IKE ID types, configure general-ikeid configuration statement under the [edit security ike gateway gateway_name dynamic] hierarchy level in the gateway.

Result

From the configuration mode, confirm your configuration by entering the show security command. If the output does not display the intended configuration, repeat the instructions in this example to correct the configuration.

Configure same IKE preshared key

To configure same IKE preshared key that the VPN gateway uses to authenticate the remote peer, perform these tasks.

  1. Configure the common pre-shared-key for ike policy in the device with AutoVPN hub.

    For example:

  2. Configure the common pre-shared-key on the ike policy for remote peer device.

    For example:

  3. (Optional) To bypass the IKE ID validation and allow all IKE ID types, configure general-ikeid configuration statement under the [edit security ike gateway gateway_name dynamic] hierarchy level in the gateway.

Result

From the configuration mode, confirm your configuration by entering the show security command. If the output does not display the intended configuration, repeat the instructions in this example to correct the configuration.

Tabela de histórico de liberação
Versão
Descrição
17.4R1
A começar pela versão do Junos OS 17.4R1, o endereço IPv6 é suportado no AutoVPN.
17.4R1
A começar pelo Junos OS Release 17.4R1, as redes AutoVPN que usam interfaces de túnel seguras no modo ponto a ponto dar suporte a endereços IPv6 para seletores de tráfego e IKE peers.
15.1X49-D120
A partir da versão 15.1X49-D120 Junos OS, você pode configurar a opção de CLI no nível da hierarquia [ ] para manter uma sessão de túnel existente e rejeitar solicitações de negociação para um novo túnel com a mesma ID IKE reject-duplicate-connectionedit security ike gateway gateway-name dynamic de segurança.