Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interface de túnel seguro em um roteador virtual

Uma interface de túnel segura (st0) é uma interface interna que é usada por VPNs baseadas em rotas para rotear o tráfego de texto limpo para um túnel VPN IPsec.

Entender o suporte de roteador virtual para VPNs baseadas em rotas

Esse recurso inclui suporte por exemplo de roteamento para VPNs baseadas em rotas. Em versões anteriores, quando uma interface st0 foi colocada em uma instância de roteamento sem cambalhota, os túneis VPN nesta interface não funcionaram corretamente. Na versão Junos OS 10.4, o suporte é habilitado para colocar interfaces st0 em uma instância de roteamento, onde cada unidade está configurada no modo ponto a ponto ou no modo multiponto. Portanto, o tráfego vpn agora funciona corretamente em um VR não desdestabelhado. Agora, você pode configurar diferentes subunits da interface st0 em diferentes instâncias de roteamento. As funções a seguir são suportadas para instâncias de roteamento sem cambalhota:

  • Gerenciamento manual de chave

  • Tráfego de trânsito

  • Auto-tráfego

  • Monitoramento de VPN

  • Hub-and-spoke VPNs

  • Protocolo de encapsulamento de payload de segurança (ESP)

  • Protocolo de cabeçalho de autenticação (AH)

  • Modo agressivo ou modo principal

  • st0 ancorado na interface de loopback (lo0)

  • Número máximo de roteadores virtuais (VRs) suportados em um dispositivo da Série SRX

  • Aplicativos como gateway de camada de aplicativos (ALG), detecção e prevenção de invasões (IDP) e gerenciamento unificado de ameaças (UTM)

  • Detecção de peer morto (DPD)

  • Cluster de chassi ativo/backup

  • Aberto o caminho mais curto primeiro (OSPF) ao longo do st0

  • Protocolo de informações de roteamento (RIP) sobre st0

  • VPN baseada em políticas dentro de VR

Entendendo as limitações do roteador virtual

Quando você configura VPN em dispositivos da Série SRX, a sobreposição de endereços IP em roteadores virtuais é suportada com as seguintes limitações:

  • Um endereço de interface externa IKE não pode se sobrepor a nenhum outro roteador virtual.

  • Um endereço de interface interna ou de confiança pode se sobrepor a qualquer outro roteador virtual.

  • Um endereço de interface st0 não pode se sobrepor a VPN baseada em rota em túneis ponto a multiponto, como o NHTB.

  • Um endereço de interface st0 pode se sobrepor a VPN baseada em rota em túneis ponto a ponto.

Exemplo: Configurando uma interface st0 em um roteador virtual

Este exemplo mostra como configurar uma interface st0 em um roteador virtual.

Requisitos

Antes de começar, configure as interfaces e atribua as interfaces a zonas de segurança. Veja "Visão geral das zonas de segurança".

Visão geral

Neste exemplo, você realiza as seguintes operações:

  • Configure as interfaces.

  • Configure propostas de Fase 1 do IKE.

  • Configure políticas de IKE e consulte as propostas.

  • Configure um gateway IKE e consulte a política.

  • Configure propostas de Fase 2.

  • Configure políticas e referencia as propostas.

  • Configure o AutoKey IKE e consulte a política e o gateway.

  • Configure a política de segurança.

  • Configure a instância de roteamento.

  • Configure a vpn vinculada à interface do túnel.

  • Configure as opções de roteamento.

Configuração

Procedimento

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar uma st0 em um VR:

  1. Configure as interfaces.

  2. Configure a Fase 1 do túnel IPsec.

  3. Configure as políticas de IKE e consulte as propostas.

  4. Configure o gateway IKE e consulte a política.

  5. Configure a Fase 2 do túnel IPsec.

  6. Configure as políticas e referencia as propostas.

  7. Configure o AutoKey IKE e consulte a política e o gateway.

  8. Configure a vpn vinculada à interface do túnel.

  9. Configure a política de segurança.

  10. Configure o st0 na instância de roteamento.

  11. Configure as opções de roteamento.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show routing-instances comandosshow security. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute esta tarefa:

Verificando uma interface st0 no roteador virtual

Propósito

Verifique a interface st0 no roteador virtual.

Ação

A partir do modo operacional, entre no show interfaces st0.0 detail comando. O número listado para tabela de roteamento corresponde à ordem que as tabelas de roteamento no show route all comando.