Crie uma VPN Hub-and-Spoke (Establishment All Peers)
A VPN hub-and-spoke (establishment all peers) conecta spokes juntos enviando tráfego pelo hub.
Antes de começar
Leia o tópico visão geral da VPN IPsec .
Analise a página principal da VPN IPsec para obter uma compreensão do seu conjunto de dados atual. Veja os campos de página principal da VPN IPsec para obter as descrições de campo.
Crie endereços e conjuntos de endereços. Veja criar endereços ou grupos de endereços.
Crie perfis de VPN. Veja a criação de perfis de VPN
Definir dispositivos extranet. Veja a criação de dispositivos extranet.
- Selecione o SRX > VPN IPsec > VPNs IPsec.
A página de VPNs IPsec é aberta.
- Clique em Criar > base de rota — hub and spoke (Establishment All Peers).
A página de VPN Create Hub-and-Spoke (Establishment All Peers) é aberta.
- Preencha os parâmetros de configuração de VPN de acordo com as diretrizes fornecidas na Tabela 1.
Nota:
Clique em Ver as configurações do IKE/IPsec para visualizar ou editar perfis de VPN. Se o perfil vpn estiver padrão, você pode editar as configurações. Se o perfil for compartilhado, você só poderá visualizar as configurações.
A conectividade VPN mudará de linha cinza para azul na topologia para mostrar que a configuração está completa. A topologia exibida para hub-and-spoke é apenas uma representação. Você pode configurar o máximo de um hub.
- Clique em Salvar para salvar a configuração de VPN IPsec.
Tabela 1: Crie configurações de páginas de VPN hub-and-spoke (Establishment All Peers) Configurações
Diretrizes
Nome
Insira uma cadeia única de no máximo 63 caracteres alfanuméricos sem espaços.
A corda pode conter cólons, períodos, traços e sublinhados.
Descrição
Insira uma descrição contendo no máximo 255 caracteres para a VPN.
Topologia de roteamento
Selecione uma das seguintes opções:
-
Seletor de tráfego (inserção automática de rota)— um seletor de tráfego é um acordo entre os pares do IKE para permitir o tráfego através de um túnel se o tráfego combinar com um par especificado de endereços locais e remotos.
-
Roteamento estático — gera roteamento estático com base nas redes ou zonas protegidas por dispositivo.
-
Roteamento dinâmico de OSPF — gera configuração de OSPF.
-
Roteamento dinâmico RIP — gera configuração RIP.
-
Roteamento dinâmico eBGP — gera configuração de eBGP.
Perfil de VPN
Selecione um perfil de VPN da lista de quedas com base no cenário de implantação.
-
O perfil Inline é aplicável apenas a uma VPN IPsec específica. Você pode visualizar e editar os detalhes clicando em Visualizar as configurações de IKE/IPsec na página Criar VPN.
-
O perfil compartilhado pode ser usado por uma ou mais VPNs IPsec. Você só pode visualizar os detalhes dos perfis compartilhados clicando nas configurações de IKE/IPsec.
Método de autenticação
Selecione um método de autenticação da lista que o dispositivo usa para autenticar a fonte das mensagens IKE.
-
Baseado em pré-compartilhado — especifica que uma chave pré-compartilhada, que é uma chave secreta compartilhada entre os dois pares, é usada durante a autenticação para identificar os pares entre si. A mesma chave deve ser configurada para cada peer.
-
RSA-Signatures — especifica que um algoritmo de chave pública, que oferece suporte a criptografia e assinaturas digitais, é usado.
-
DSA-Signatures — especifica que o algoritmo de assinatura digital (DSA) é usado.
-
ECDSA-Signatures-256 — especifica que a Curva Elíptica DSA (ECDSA) usando a curva elíptica secp256r1 de 256 bits, conforme especificado no Padrão de Assinatura Digital (FIPS) Padrão de Assinatura Digital (DSS) 186-3, é usado.
-
ECDSA-Signatures-384 — especifica que a ECDSA usando a curva elíptica de 384 bits secp384r1, conforme especificado no FIPS DSS 186-3, é usado.
Unidade de transmissão Max
Selecione a unidade de transmissão máxima (MTU) em bytes.
A MTU define o tamanho máximo de um pacote IP, incluindo a sobrecarga de IPsec. Você pode especificar o valor do MTU para o endpoint do túnel. A faixa válida é de 68 a 9192 bytes, e o valor padrão é de 1500 bytes.
Chave pré-compartilhada
Estabeleça uma conexão VPN usando chaves pré-compartilhadas, que é essencialmente uma senha que é a mesma para ambas as partes.
Selecione o tipo de chave pré-compartilhada para usar:
-
Autogenerate — Selecione se você deseja gerar automaticamente uma chave única por túnel. Quando selecionada, a opção Gerar uma chave única por túnel é habilitada automaticamente. Se você desativar a geração de chave única por opção de túnel, o Juniper Security Director Cloud gera uma única chave para todos os túneis.
-
Manual — Selecione para inserir a chave manualmente. Por padrão, a chave manual é mascarada.
As chaves pré-compartilhadas só são aplicáveis se o método de autenticação for pré-compartilhado com base.
IP da rede
Digite o endereço IP da interface de túnel numerada.
Este é o endereço de sub-rede de onde o endereço IP é atribuído automaticamente para interfaces de túnel.
Número de dispositivos spoke por interface de túnel
Selecione Todos ou especifique o número de dispositivos spoke para compartilhar uma interface de túnel no hub.
Dispositivos
Adicione dispositivos como endpoints na VPN.
Nota:Você não pode adicionar um par de alta disponibilidade (MNHA) multinodo. Mas, você pode adicionar um ou ambos os dispositivos no par MNHA.
Para adicionar dispositivos em VPNs baseadas em rota:
-
Clique em Adicionar e clique em um dos seguintes: Dispositivo hub, dispositivo spoke ou dispositivo de spoke extranet.
A página do dispositivo adicionar é aberta.
- Configure os parâmetros do dispositivo conforme descrito na Tabela 2.
- Clique em OK.
Tabela 2: Adicione as configurações da página do dispositivo Configurações
Diretrizes
Dispositivo
Selecione um dispositivo.
Interface externa
Selecione a interface de saída para associações de segurança IKE (SAs).
Essa interface está associada a uma zona que atua como sua operadora, fornecendo segurança de firewall para ela.
Zona de túnel
Selecione a zona do túnel.
As zonas de Tunnle são áreas lógicas de espaço de endereço que podem suportar pools de endereços IP (DIP) dinâmicos para aplicativos NAT para tráfego IPsec pré e pós-encapsulado. As zonas de túnel também oferecem flexibilidade na combinação de interfaces de túnel com túneis VPN.
Métrica
Especifique o custo de uma rota de acesso para o próximo salto.
Instância de roteamento
Selecione a instância de roteamento necessária.
Certificado
Selecione um certificado para autenticar o iniciador e o destinatário da rede privada virtual (VPN).
Isso é aplicável em um dos seguintes cenários:
-
O perfil vpn é o perfil RSA ou perfil ADVPN.
-
O método de autenticação é RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 ou ECDSA-Signatures-384.
CA/Grupo confiável
Selecione o perfil de CA da lista para associá-lo ao certificado local.
Isso é aplicável em um dos seguintes cenários:
-
O perfil vpn é o perfil RSA ou perfil ADVPN.
-
O método de autenticação é RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 ou ECDSA-Signatures-384.
Exportação
Selecione o tipo de rotas para exportação.
-
Selecione a caixa de verificação de rotas estáticas para exportar rotas estáticas.
O Juniper Security Director Cloud simplifica o gerenciamento de endereços VPN, permitindo que o administrador exporte rotas estáticas para um local remoto por um túnel, permitindo que as redes de rota estáticas participem da VPN. No entanto, apenas dispositivos no lado hub podem exportar rotas padrão estáticas para o lado do dispositivo. Os dispositivos do lado spoke não podem exportar rotas padrão estáticas por um túnel.
Para o roteamento dinâmico eBGP, a caixa de verificação de rotas estáticas é selecionada por padrão.
-
Selecione a caixa de verificação rip routes para exportar rotas RIP.
Você só pode exportar rotas RIP quando a topologia de roteamento for o roteamento dinâmico OSPF.
-
Selecione a caixa de verificação de rotas OSPF para exportar rotas OSPF.
Você só pode exportar rotas OSPF quando a topologia de roteamento for o roteamento rip-dinâmico.
Se você selecionar a exportação de OSPF ou RIP, as rotas OSPF ou RIP fora da rede VPN são importadas para uma rede VPN por meio de protocolos de roteamento OSPF ou RIP Dynamic.
Área de OSPF
Selecione um ID de área OSPF dentro da faixa de 0 a 4.294.967.295, onde as interfaces de túnel desta VPN devem ser configuradas.
O ID da área de OSPF é aplicável quando a topologia de roteamento é o roteamento osPF-dinâmico.
Tempo de retransmissão max
Selecione o timer de retransmissão para limitar o número de vezes que o circuito de demanda RIP remete mensagens de atualização a um peer sem resposta.
Se o limiar de retransmissão configurado for atingido, as rotas do roteador de próximo salto serão marcadas como inalcançáveis e o temporizador de retenção começa. Você deve configurar um par de circuitos de demanda RIP para que este timer entre em vigor.
A faixa de retransmissão é de 5 a 180 segundos e o valor padrão é de 50 segundos.
Essa opção só é aplicável quando a topologia de roteamento é o roteamento rip-dinâmico.
Como número
Selecione um número único para atribuir ao sistema autônomo (AS).
O número AS identifica um sistema autônomo e permite que o sistema troque informações de roteamento exterior com outros sistemas autônomos vizinhos. A faixa válida é de 0 a 4294967295.
O número AS só é aplicável quando a topologia de roteamento é o roteamento dinâmico e-BGP.
Redes protegidas
Configure os endereços ou o tipo de interface para o dispositivo selecionado para proteger uma área da rede da outra.
Quando um protocolo de roteamento dinâmico é selecionado, a opção de interface é exibida.
Você também pode criar endereços clicando em Adicionar novo endereço.
Tabela 3: Veja as configurações do IKE/IPsec Configurações
Diretrizes
Configurações do IKE Versão IKE
Selecione a versão IKE necessária, V1 ou V2, que é usada para negociar associações de segurança dinâmica (SAs) para IPsec.
Por padrão, o IKE V2 é usado.
Modo
Selecione um modo de política de IKE.
-
Principal — usa seis mensagens em três trocas peer-to-peer para estabelecer o IKE SA. Essas três etapas incluem a negociação da SA IKE, uma troca Diffie-Hellman e a autenticação do peer. Esse modo também oferece proteção contra identidade.
-
Agressivo — leva metade do número de mensagens do modo principal, tem menos poder de negociação e não fornece proteção de identidade.
O modo é aplicável quando a versão IKE é V1.
Algoritmo de criptografia
Selecione o mecanismo de criptografia apropriado.
Algoritmo de autenticação
Selecione um algoritmo.
O dispositivo usa esse algoritmo para verificar a autenticidade e a integridade de um pacote.
Grupo Deffie Hellman
Selecione um grupo.
Os grupos de Diffie-Hellman (DH) determinam a força da chave usada no processo de troca chave.
Segundos de vida útil
Selecione uma vida útil de uma associação de segurança IKE (SA).
A faixa válida é de 180 a 86400 segundos.
Detecção de peer morto
Habilite essa opção para permitir que os dois gateways determinem se o gateway peer está funcionando e respondendo às mensagens de Detecção de Peer Morto (DPD) que são negociadas durante o estabelecimento do IPsec.
Modo DPD
Selecione um modo DPD.
-
Otimizado: as mensagens R-U-THERE são acionadas se não houver tráfego IKE ou IPsec de entrada em um intervalo configurado após o dispositivo enviar pacotes de saída para o peer. Este é o modo padrão.
-
Túnel ocioso de sondagem: as mensagens R-U-THERE são acionadas se não houver tráfego IKE ou IPsec de entrada ou saída em um intervalo configurado. As mensagens R-U-THERE são enviadas periodicamente ao peer até que haja atividade de tráfego.
-
Enviar sempre: as mensagens R-U-THERE são enviadas em intervalos configurados, independentemente da atividade de tráfego entre os pares.
Intervalo de DPD
Selecione um intervalo em segundos para enviar mensagens de detecção de peer inativos.
O intervalo padrão é de 10 segundos com um intervalo válido de 2 a 60 segundos.
Limite de DPD
Selecione o valor limite de DPD de falha.
Isso especifica o número máximo de vezes que as mensagens DPD devem ser enviadas quando não há resposta do peer. O número padrão de transmissões é de 5 vezes com uma faixa válida de 1 a 5.
Configurações avançadas ID geral de IKE
Habilite essa opção de aceitar a ID ID de IKE por peer.
Essa opção é desabilitada por padrão. Se o ID IKE geral estiver habilitado, a opção IKE ID será desativada automaticamente.
Autenticação re IKEv2
Selecione uma frequência de reauthenticação. A reauthenticação pode ser desabilitada configurando a frequência de reauthenticação em 0.
A faixa válida é de 0 a 100.
Suporte para re fragmentação do IKEv2
Habilite essa opção de dividir uma grande mensagem IKEv2 em um conjunto de menores para que não haja fragmentação no nível de IP.
Tamanho do novo fragmento do IKEv2
Selecione o tamanho do pacote em que as mensagens são fragmentadas.
Por padrão, o tamanho é de 576 bytes para IPv4, e a faixa válida é de 570 a 1320.
IKE ID
Selecione uma das seguintes opções:
-
Nenhum
-
Nome distinto
-
Nome de host
-
Endereço IPv4
-
Endereço de e-mail
A ID IKE só é aplicável quando o ID geral de IKE é desativado.
NAT-T
Habilite a tradução de endereços de rede (NAT-T) se o endpoint dinâmico estiver por trás de um dispositivo NAT.
Mantenha-se vivo
Selecione um período em segundos para manter a conexão viva.
Os NAT Keepalives são necessários para manter a tradução de NAT durante a conexão entre os pares de VPN.
A faixa válida é de 1 a 300 segundos.
Configurações do IPsec Protocolo
Selecione o protocolo necessário para estabelecer a VPN.
-
ESP — O protocolo Encapsulando o Security Payload (ESP) oferece criptografia e autenticação.
-
AH — O protocolo Authentication Header (AH) oferece integridade de dados e autenticação de dados.
Algoritmo de criptografia
Selecione o método de criptografia.
Essa opção é aplicável se o protocolo for ESP.
Algoritmo de autenticação
Selecione um algoritmo.
O dispositivo usa esses algoritmos para verificar a autenticidade e a integridade de um pacote.
Sigilo perfeito para o futuro
Selecione o sigilo perfeito para o encaminhamento (PFS) como o método que o dispositivo usa para gerar a chave de criptografia.
O PFS gera cada nova chave de criptografia independentemente da chave anterior. Os grupos com maior número oferecem mais segurança, mas exigem mais tempo de processamento.
Estabelecer túnel
Selecione uma opção para especificar quando o IKE for ativado.
-
Imediatamente — o IKE é ativado imediatamente após as mudanças na configuração de VPN serem cometidas.
-
No tráfego — o IKE é ativado apenas quando o tráfego de dados flui e deve ser negociado com o gateway peer. Esse é o comportamento padrão.
Configurações avançadas VPN Monitor
Habilite essa opção de enviar o Protocolo de Mensagem de Controle de Internet (ICMP) para determinar se a VPN está ativa.
Otimizado
Habilite essa opção para otimizar o monitoramento de VPN e configurar firewalls da Série SRX para enviar solicitações de eco do ICMP, também chamadas de pings, somente quando houver tráfego de saída e sem tráfego de entrada do peer configurado através do túnel VPN.
Se houver tráfego de entrada pelo túnel VPN, os firewalls da Série SRX consideram o túnel ativo e não enviam pings para o peer.
Anti Replay
Habilite essa opção para o mecanismo IPsec para proteger contra um ataque VPN que usa uma sequência de números incorporados no pacote IPsec.
O IPsec não aceita um pacote para o qual já viu o mesmo número de sequência. Ele verifica os números da sequência e aplica a verificação em vez de apenas ignorar os números da sequência.
Desativar essa opção se houver um erro com o mecanismo IPsec que resulta em pacotes fora de ordem, evitando a funcionalidade adequada.
Por padrão, a detecção anti-replay é habilitada.
Intervalo de instalação
Selecione o número máximo de segundos para permitir a instalação de uma associação de segurança de saída (SA) re-keyed no dispositivo.
Tempo ocioso
Selecione o intervalo de tempo ocioso apropriado.
As sessões e suas tradução correspondentes normalmente saem após um determinado período, se nenhum tráfego for recebido.
DF Bit
Selecione uma opção para processar o bit Don't Fragment (DF) em mensagens DE IP.
-
Limpar — Desabile o bit DF das mensagens IP. Esta é a opção padrão.
-
Copiar — Copie o bit df para as mensagens IP.
-
Definir — habilite o bit DF nas mensagens IP.
Copie o DSCP externo
Habilite essa opção para permitir a cópia do campo de ponto de código de serviços diferenciados (DSCP) do pacote criptografado de cabeçalho IP externo até a mensagem de texto simples de cabeçalho IP interno no caminho de descriptografia.
O benefício em habilitar esse recurso é que, após a descriptografia do IPsec, pacotes de texto claros podem seguir as regras internas de classe de serviço (CoS).
Segundos de vida útil
Selecione uma vida útil de uma associação de segurança IKE (SA).
A faixa válida é de 180 a 86400 segundos.
Kilobytes vitalícios
Selecione a vida útil em kilobytes de uma associação de segurança IPsec (SA).
A faixa válida é de 64 a 4294967294 kilobytes.
-