Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Descripción de AutoVPN

 

AutoVPN admite un agregador VPN de IPsec (conocido como un concentrador) que funciona como un único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un concentrador para los radios actuales y futuros. Cuando se agregan o eliminan dispositivos radiales, no es necesario realizar cambios de configuración en el concentrador, lo que permite a los administradores la flexibilidad de administrar implementaciones de red a gran escala.

Modos de túnel seguro

AutoVPN es compatible con VPN de IPsec basadas en rutas. En el caso de las VPN basadas en la ruta, puede configurar una interfaz de túnel seguro (st0) y enlazarla con un túnel VPN de IPsec. las interfaces st0 en las redes AutoVPN se pueden configurar en uno de estos dos modos:

  • Modo—punto a punto de forma predeterminada, una interfaz st0 configurada en eledit interfaces st0 unit xnivel [] de la jerarquía se encuentra en el modo punto a punto. A partir de Junos OS Release 17.4 R1, la dirección IPv6 se soporta en AutoVPN.

  • Modo—punto a multipunto en este modo, la multipoint opción se configura en el nivel de jerarquíaedit interfaces st0 unit x[] tanto en concentradores AutoVPN como en radios. las interfaces st0 del concentrador y los radios deben estar numeradas y la dirección IP configurada en un radio debe existir en la subred de interfaz st0 del concentrador.

Tabla 1compara los modos de interfaz de túnel seguro AutoVPN punto a punto y de punto a multipunto.

Tabla 1: Comparación entre los modos de túnel seguro AutoVPN punto a punto y punto a multipunto

Modo punto a punto

Modo punto a multipunto

Es compatible con IKEv1 o IKEv2.

Es compatible con IKEv1 o IKEv2.

Admite el tráfico IPv4 e IPv6.

Soporta IPv4 o IPv6.

Selectores de tráfico

Protocolos de enrutamiento dinámico (OSPF, OSPFv3 y iBGP)

Detección de pares de tráfico muerto

Detección de pares de tráfico muerto

Permite que los dispositivos radiales sean serie SRX o de otros fabricantes.

Este modo solo se admite con dispositivos serie SRX.

Authentication

La autenticación compatible para los concentradores y radios AutoVPN es X. 509 certificados de infraestructura de clave pública (PKI). El tipo de usuario ICR de grupo configurado en el concentrador permite especificar cadenas que coincidan con el campo de asunto alternativo de certificados de radios. También se pueden especificar coincidencias parciales para los campos de asunto de los certificados de radios. Consulte Understanding Spoke Authentication in AutoVPN Deployments.

Configuración y administración

AutoVPN se configura y administra en dispositivos serie SRX con la CLI. Se pueden configurar varios concentradores AutoVPN en un solo dispositivo serie SRX. El número máximo de radios compatibles con un concentrador configurado es específico del modelo del dispositivo de serie SRX.

Descripción de las limitaciones de AutoVPN

Las siguientes características no son compatibles con AutoVPN:

  • No se admiten VPN basadas en políticas.

  • El protocolo de enrutamiento dinámico RIP no es compatible con túneles AutoVPN.

  • No se admiten claves y Autokey ICRs manuales con claves compartidas previamente.

  • No se admite la configuración de enlace de túnel estático de próximo salto (NHTB) en el concentrador para radios.

  • No se admite la multidifusión.

  • El tipo de usuario del ID del ICR de grupo no es compatible con una dirección IP como ID. de ICR.

  • Cuando se utiliza el tipo de usuario del ICR de grupo, el identificador de ICR no debe solaparse con otras puertas de enlace de ICR configuradas en la misma interfaz externa.

Descripción de AutoVPN con los selectores de tráfico

Los concentradores AutoVPN se pueden configurar con varios selectores de tráfico para proteger el tráfico a los radios. Esta característica ofrece las siguientes ventajas:

  • Una sola configuración VPN puede admitir varios interlocutores diferentes.

  • Los interlocutores VPN pueden ser dispositivos no serie SRX.

  • Un solo interlocutor puede establecer varios túneles con la misma VPN.

  • Se puede admitir un número mayor de túneles que con AutoVPN con protocolos de enrutamiento dinámico.

A partir de Junos OS versión 17.4 R1, AutoVPN Networks que utilizan interfaces de túnel seguro en modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para los interlocutores ICR.

Cuando se establece el túnel de concentrador a periferia, el concentrador utiliza la inserción automática de rutas (ARI), conocida en versiones anteriores como inserción de ruta inversa (RRI), para insertar la ruta en el prefijo de radios de su tabla de enrutamiento. A continuación, la ruta ARI se puede importar a los protocolos de enrutamiento y distribuirse a la red central.

AutoVPN con los selectores de tráfico se pueden configurar con la interfaz de túnel seguro (st0) en modo punto a punto tanto para IKEv1 como para IKEv2.

Nota

Los protocolos de enrutamiento dinámico no se admiten en las interfaces st0 cuando se configuran los selectores de tráfico.

Tenga en cuenta las siguientes consideraciones a la hora de configurar AutoVPN con los selectores de tráfico:

  • Los selectores de tráfico con interfaces st0 en el modo punto a punto no admiten protocolos de enrutamiento dinámico.

  • La carga de la configuración VPN de detección automática y IKEv2 no se puede configurar con AutoVPN con los selectores de tráfico.

  • Los radios pueden ser dispositivos no serie SRX; sin embargo, tenga en cuenta las siguientes diferencias:

    • En IKEv2, un radio no serie SRX puede proponer varios selectores de tráfico en una sola negociación de SA. Esto no se admite en dispositivos serie SRX y la negociación se rechaza.

    • Un radio no serie SRX puede identificar puertos específicos o protocolos para el uso del selector de tráfico. Los selectores de tráfico de serie SRX dispositivos no admiten puertos ni protocolos, por lo que la negociación es rechazada.

Release History Table
Publicación
Descripción
A partir de Junos OS Release 17.4 R1, la dirección IPv6 se soporta en AutoVPN.
A partir de Junos OS versión 17.4 R1, AutoVPN Networks que utilizan interfaces de túnel seguro en modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para los interlocutores ICR.