Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Crie uma VPN Hub-and-Spoke (Establishment All Peers)

A VPN hub-and-spoke (establishment all peers) conecta spokes juntos enviando tráfego pelo hub.

Antes de começar

  1. Selecione o SRX > VPN IPsec > VPNs IPsec.

    A página de VPNs IPsec é aberta.

  2. Clique em Criar > base de rota — hub and spoke (Establishment All Peers).

    A página de VPN Create Hub-and-Spoke (Establishment All Peers) é aberta.

  3. Preencha os parâmetros de configuração de VPN de acordo com as diretrizes fornecidas na Tabela 1.
    Nota:

    Clique em Ver as configurações do IKE/IPsec para visualizar ou editar perfis de VPN. Se o perfil vpn estiver padrão, você pode editar as configurações. Se o perfil for compartilhado, você só poderá visualizar as configurações.

    A conectividade VPN mudará de linha cinza para azul na topologia para mostrar que a configuração está completa. A topologia exibida para hub-and-spoke é apenas uma representação. Você pode configurar o máximo de um hub.

  4. Clique em Salvar para salvar a configuração de VPN IPsec.
    Tabela 1: Crie configurações de páginas de VPN hub-and-spoke (Establishment All Peers)

    Configurações

    Diretrizes

    Nome

    Insira uma cadeia única de no máximo 63 caracteres alfanuméricos sem espaços.

    A corda pode conter cólons, períodos, traços e sublinhados.

    Descrição

    Insira uma descrição contendo no máximo 255 caracteres para a VPN.

    Topologia de roteamento

    Selecione uma das seguintes opções:

    • Seletor de tráfego (inserção automática de rota)— um seletor de tráfego é um acordo entre os pares do IKE para permitir o tráfego através de um túnel se o tráfego combinar com um par especificado de endereços locais e remotos.

    • Roteamento estático — gera roteamento estático com base nas redes ou zonas protegidas por dispositivo.

    • Roteamento dinâmico de OSPF — gera configuração de OSPF.

    • Roteamento dinâmico RIP — gera configuração RIP.

    • Roteamento dinâmico eBGP — gera configuração de eBGP.

    Perfil de VPN

    Selecione um perfil de VPN da lista de quedas com base no cenário de implantação.

    • O perfil Inline é aplicável apenas a uma VPN IPsec específica. Você pode visualizar e editar os detalhes clicando em Visualizar as configurações de IKE/IPsec na página Criar VPN.

    • O perfil compartilhado pode ser usado por uma ou mais VPNs IPsec. Você só pode visualizar os detalhes dos perfis compartilhados clicando nas configurações de IKE/IPsec.

    Método de autenticação

    Selecione um método de autenticação da lista que o dispositivo usa para autenticar a fonte das mensagens IKE.

    • Baseado em pré-compartilhado — especifica que uma chave pré-compartilhada, que é uma chave secreta compartilhada entre os dois pares, é usada durante a autenticação para identificar os pares entre si. A mesma chave deve ser configurada para cada peer.

    • RSA-Signatures — especifica que um algoritmo de chave pública, que oferece suporte a criptografia e assinaturas digitais, é usado.

    • DSA-Signatures — especifica que o algoritmo de assinatura digital (DSA) é usado.

    • ECDSA-Signatures-256 — especifica que a Curva Elíptica DSA (ECDSA) usando a curva elíptica secp256r1 de 256 bits, conforme especificado no Padrão de Assinatura Digital (FIPS) Padrão de Assinatura Digital (DSS) 186-3, é usado.

    • ECDSA-Signatures-384 — especifica que a ECDSA usando a curva elíptica de 384 bits secp384r1, conforme especificado no FIPS DSS 186-3, é usado.

    Unidade de transmissão Max

    Selecione a unidade de transmissão máxima (MTU) em bytes.

    A MTU define o tamanho máximo de um pacote IP, incluindo a sobrecarga de IPsec. Você pode especificar o valor do MTU para o endpoint do túnel. A faixa válida é de 68 a 9192 bytes, e o valor padrão é de 1500 bytes.

    Chave pré-compartilhada

    Estabeleça uma conexão VPN usando chaves pré-compartilhadas, que é essencialmente uma senha que é a mesma para ambas as partes.

    Selecione o tipo de chave pré-compartilhada para usar:

    • Autogenerate — Selecione se você deseja gerar automaticamente uma chave única por túnel. Quando selecionada, a opção Gerar uma chave única por túnel é habilitada automaticamente. Se você desativar a geração de chave única por opção de túnel, o Juniper Security Director Cloud gera uma única chave para todos os túneis.

    • Manual — Selecione para inserir a chave manualmente. Por padrão, a chave manual é mascarada.

    As chaves pré-compartilhadas só são aplicáveis se o método de autenticação for pré-compartilhado com base.

    IP da rede

    Digite o endereço IP da interface de túnel numerada.

    Este é o endereço de sub-rede de onde o endereço IP é atribuído automaticamente para interfaces de túnel.

    Número de dispositivos spoke por interface de túnel

    Selecione Todos ou especifique o número de dispositivos spoke para compartilhar uma interface de túnel no hub.

    Dispositivos

    Adicione dispositivos como endpoints na VPN.

    Nota:

    Você não pode adicionar um par de alta disponibilidade (MNHA) multinodo. Mas, você pode adicionar um ou ambos os dispositivos no par MNHA.

    Para adicionar dispositivos em VPNs baseadas em rota:

    1. Clique em Adicionar e clique em um dos seguintes: Dispositivo hub, dispositivo spoke ou dispositivo de spoke extranet.

      A página do dispositivo adicionar é aberta.

    2. Configure os parâmetros do dispositivo conforme descrito na Tabela 2.
    3. Clique em OK.
    Tabela 2: Adicione as configurações da página do dispositivo

    Configurações

    Diretrizes

    Dispositivo

    Selecione um dispositivo.

    Interface externa

    Selecione a interface de saída para associações de segurança IKE (SAs).

    Essa interface está associada a uma zona que atua como sua operadora, fornecendo segurança de firewall para ela.

    Zona de túnel

    Selecione a zona do túnel.

    As zonas de Tunnle são áreas lógicas de espaço de endereço que podem suportar pools de endereços IP (DIP) dinâmicos para aplicativos NAT para tráfego IPsec pré e pós-encapsulado. As zonas de túnel também oferecem flexibilidade na combinação de interfaces de túnel com túneis VPN.

    Métrica

    Especifique o custo de uma rota de acesso para o próximo salto.

    Instância de roteamento

    Selecione a instância de roteamento necessária.

    Certificado

    Selecione um certificado para autenticar o iniciador e o destinatário da rede privada virtual (VPN).

    Isso é aplicável em um dos seguintes cenários:

    • O perfil vpn é o perfil RSA ou perfil ADVPN.

    • O método de autenticação é RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 ou ECDSA-Signatures-384.

    CA/Grupo confiável

    Selecione o perfil de CA da lista para associá-lo ao certificado local.

    Isso é aplicável em um dos seguintes cenários:

    • O perfil vpn é o perfil RSA ou perfil ADVPN.

    • O método de autenticação é RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 ou ECDSA-Signatures-384.

    Exportação

    Selecione o tipo de rotas para exportação.

    • Selecione a caixa de verificação de rotas estáticas para exportar rotas estáticas.

      O Juniper Security Director Cloud simplifica o gerenciamento de endereços VPN, permitindo que o administrador exporte rotas estáticas para um local remoto por um túnel, permitindo que as redes de rota estáticas participem da VPN. No entanto, apenas dispositivos no lado hub podem exportar rotas padrão estáticas para o lado do dispositivo. Os dispositivos do lado spoke não podem exportar rotas padrão estáticas por um túnel.

      Para o roteamento dinâmico eBGP, a caixa de verificação de rotas estáticas é selecionada por padrão.

    • Selecione a caixa de verificação rip routes para exportar rotas RIP.

      Você só pode exportar rotas RIP quando a topologia de roteamento for o roteamento dinâmico OSPF.

    • Selecione a caixa de verificação de rotas OSPF para exportar rotas OSPF.

      Você só pode exportar rotas OSPF quando a topologia de roteamento for o roteamento rip-dinâmico.

    Se você selecionar a exportação de OSPF ou RIP, as rotas OSPF ou RIP fora da rede VPN são importadas para uma rede VPN por meio de protocolos de roteamento OSPF ou RIP Dynamic.

    Área de OSPF

    Selecione um ID de área OSPF dentro da faixa de 0 a 4.294.967.295, onde as interfaces de túnel desta VPN devem ser configuradas.

    O ID da área de OSPF é aplicável quando a topologia de roteamento é o roteamento osPF-dinâmico.

    Tempo de retransmissão max

    Selecione o timer de retransmissão para limitar o número de vezes que o circuito de demanda RIP remete mensagens de atualização a um peer sem resposta.

    Se o limiar de retransmissão configurado for atingido, as rotas do roteador de próximo salto serão marcadas como inalcançáveis e o temporizador de retenção começa. Você deve configurar um par de circuitos de demanda RIP para que este timer entre em vigor.

    A faixa de retransmissão é de 5 a 180 segundos e o valor padrão é de 50 segundos.

    Essa opção só é aplicável quando a topologia de roteamento é o roteamento rip-dinâmico.

    Como número

    Selecione um número único para atribuir ao sistema autônomo (AS).

    O número AS identifica um sistema autônomo e permite que o sistema troque informações de roteamento exterior com outros sistemas autônomos vizinhos. A faixa válida é de 0 a 4294967295.

    O número AS só é aplicável quando a topologia de roteamento é o roteamento dinâmico e-BGP.

    Redes protegidas

    Configure os endereços ou o tipo de interface para o dispositivo selecionado para proteger uma área da rede da outra.

    Quando um protocolo de roteamento dinâmico é selecionado, a opção de interface é exibida.

    Você também pode criar endereços clicando em Adicionar novo endereço.

    Tabela 3: Veja as configurações do IKE/IPsec

    Configurações

    Diretrizes

    Configurações do IKE

    Versão IKE

    Selecione a versão IKE necessária, V1 ou V2, que é usada para negociar associações de segurança dinâmica (SAs) para IPsec.

    Por padrão, o IKE V2 é usado.

    Modo

    Selecione um modo de política de IKE.

    • Principal — usa seis mensagens em três trocas peer-to-peer para estabelecer o IKE SA. Essas três etapas incluem a negociação da SA IKE, uma troca Diffie-Hellman e a autenticação do peer. Esse modo também oferece proteção contra identidade.

    • Agressivo — leva metade do número de mensagens do modo principal, tem menos poder de negociação e não fornece proteção de identidade.

    O modo é aplicável quando a versão IKE é V1.

    Algoritmo de criptografia

    Selecione o mecanismo de criptografia apropriado.

    Algoritmo de autenticação

    Selecione um algoritmo.

    O dispositivo usa esse algoritmo para verificar a autenticidade e a integridade de um pacote.

    Grupo Deffie Hellman

    Selecione um grupo.

    Os grupos de Diffie-Hellman (DH) determinam a força da chave usada no processo de troca chave.

    Segundos de vida útil

    Selecione uma vida útil de uma associação de segurança IKE (SA).

    A faixa válida é de 180 a 86400 segundos.

    Detecção de peer morto

    Habilite essa opção para permitir que os dois gateways determinem se o gateway peer está funcionando e respondendo às mensagens de Detecção de Peer Morto (DPD) que são negociadas durante o estabelecimento do IPsec.

    Modo DPD

    Selecione um modo DPD.

    • Otimizado: as mensagens R-U-THERE são acionadas se não houver tráfego IKE ou IPsec de entrada em um intervalo configurado após o dispositivo enviar pacotes de saída para o peer. Este é o modo padrão.

    • Túnel ocioso de sondagem: as mensagens R-U-THERE são acionadas se não houver tráfego IKE ou IPsec de entrada ou saída em um intervalo configurado. As mensagens R-U-THERE são enviadas periodicamente ao peer até que haja atividade de tráfego.

    • Enviar sempre: as mensagens R-U-THERE são enviadas em intervalos configurados, independentemente da atividade de tráfego entre os pares.

    Intervalo de DPD

    Selecione um intervalo em segundos para enviar mensagens de detecção de peer inativos.

    O intervalo padrão é de 10 segundos com um intervalo válido de 2 a 60 segundos.

    Limite de DPD

    Selecione o valor limite de DPD de falha.

    Isso especifica o número máximo de vezes que as mensagens DPD devem ser enviadas quando não há resposta do peer. O número padrão de transmissões é de 5 vezes com uma faixa válida de 1 a 5.

    Configurações avançadas

    ID geral de IKE

    Habilite essa opção de aceitar a ID ID de IKE por peer.

    Essa opção é desabilitada por padrão. Se o ID IKE geral estiver habilitado, a opção IKE ID será desativada automaticamente.

    Autenticação re IKEv2

    Selecione uma frequência de reauthenticação. A reauthenticação pode ser desabilitada configurando a frequência de reauthenticação em 0.

    A faixa válida é de 0 a 100.

    Suporte para re fragmentação do IKEv2

    Habilite essa opção de dividir uma grande mensagem IKEv2 em um conjunto de menores para que não haja fragmentação no nível de IP.

    Tamanho do novo fragmento do IKEv2

    Selecione o tamanho do pacote em que as mensagens são fragmentadas.

    Por padrão, o tamanho é de 576 bytes para IPv4, e a faixa válida é de 570 a 1320.

    IKE ID

    Selecione uma das seguintes opções:

    • Nenhum

    • Nome distinto

    • Nome de host

    • Endereço IPv4

    • Endereço de e-mail

    A ID IKE só é aplicável quando o ID geral de IKE é desativado.

    NAT-T

    Habilite a tradução de endereços de rede (NAT-T) se o endpoint dinâmico estiver por trás de um dispositivo NAT.

    Mantenha-se vivo

    Selecione um período em segundos para manter a conexão viva.

    Os NAT Keepalives são necessários para manter a tradução de NAT durante a conexão entre os pares de VPN.

    A faixa válida é de 1 a 300 segundos.

    Configurações do IPsec

    Protocolo

    Selecione o protocolo necessário para estabelecer a VPN.

    • ESP — O protocolo Encapsulando o Security Payload (ESP) oferece criptografia e autenticação.

    • AH — O protocolo Authentication Header (AH) oferece integridade de dados e autenticação de dados.

    Algoritmo de criptografia

    Selecione o método de criptografia.

    Essa opção é aplicável se o protocolo for ESP.

    Algoritmo de autenticação

    Selecione um algoritmo.

    O dispositivo usa esses algoritmos para verificar a autenticidade e a integridade de um pacote.

    Sigilo perfeito para o futuro

    Selecione o sigilo perfeito para o encaminhamento (PFS) como o método que o dispositivo usa para gerar a chave de criptografia.

    O PFS gera cada nova chave de criptografia independentemente da chave anterior. Os grupos com maior número oferecem mais segurança, mas exigem mais tempo de processamento.

    Estabelecer túnel

    Selecione uma opção para especificar quando o IKE for ativado.

    • Imediatamente — o IKE é ativado imediatamente após as mudanças na configuração de VPN serem cometidas.

    • No tráfego — o IKE é ativado apenas quando o tráfego de dados flui e deve ser negociado com o gateway peer. Esse é o comportamento padrão.

    Configurações avançadas

    VPN Monitor

    Habilite essa opção de enviar o Protocolo de Mensagem de Controle de Internet (ICMP) para determinar se a VPN está ativa.

    Otimizado

    Habilite essa opção para otimizar o monitoramento de VPN e configurar firewalls da Série SRX para enviar solicitações de eco do ICMP, também chamadas de pings, somente quando houver tráfego de saída e sem tráfego de entrada do peer configurado através do túnel VPN.

    Se houver tráfego de entrada pelo túnel VPN, os firewalls da Série SRX consideram o túnel ativo e não enviam pings para o peer.

    Anti Replay

    Habilite essa opção para o mecanismo IPsec para proteger contra um ataque VPN que usa uma sequência de números incorporados no pacote IPsec.

    O IPsec não aceita um pacote para o qual já viu o mesmo número de sequência. Ele verifica os números da sequência e aplica a verificação em vez de apenas ignorar os números da sequência.

    Desativar essa opção se houver um erro com o mecanismo IPsec que resulta em pacotes fora de ordem, evitando a funcionalidade adequada.

    Por padrão, a detecção anti-replay é habilitada.

    Intervalo de instalação

    Selecione o número máximo de segundos para permitir a instalação de uma associação de segurança de saída (SA) re-keyed no dispositivo.

    Tempo ocioso

    Selecione o intervalo de tempo ocioso apropriado.

    As sessões e suas tradução correspondentes normalmente saem após um determinado período, se nenhum tráfego for recebido.

    DF Bit

    Selecione uma opção para processar o bit Don't Fragment (DF) em mensagens DE IP.

    • Limpar — Desabile o bit DF das mensagens IP. Esta é a opção padrão.

    • Copiar — Copie o bit df para as mensagens IP.

    • Definir — habilite o bit DF nas mensagens IP.

    Copie o DSCP externo

    Habilite essa opção para permitir a cópia do campo de ponto de código de serviços diferenciados (DSCP) do pacote criptografado de cabeçalho IP externo até a mensagem de texto simples de cabeçalho IP interno no caminho de descriptografia.

    O benefício em habilitar esse recurso é que, após a descriptografia do IPsec, pacotes de texto claros podem seguir as regras internas de classe de serviço (CoS).

    Segundos de vida útil

    Selecione uma vida útil de uma associação de segurança IKE (SA).

    A faixa válida é de 180 a 86400 segundos.

    Kilobytes vitalícios

    Selecione a vida útil em kilobytes de uma associação de segurança IPsec (SA).

    A faixa válida é de 64 a 4294967294 kilobytes.