Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Descripción Intercambio de claves por red versión 2

 

Intercambio de claves por red versión 2 (IKEv2) es la versión más reciente del protocolo Intercambio de claves por red (ICR) definido en RFC 7296.

Una VPN peer está configurada como IKEv1 o IKEv2. Cuando un elemento del mismo nivel se configura como IKEv2, no puede recurrir a IKEv1 si su punto de conexión remoto inicia la negociación de IKEv1. De forma predeterminada, los dispositivos de seguridad Juniper Networks son los homólogos de IKEv1.

Utilice la version v2-only instrucción de configuración en eledit security ike gateway gw-namenivel de jerarquía [] para configurar IKEv2. La versión ICR se muestra en el resultado de los show security ike security-associations comandos show security ipsec security-associations de funcionamiento de la CLI y.

Las ventajas de usar IKEv2 sobre IKEv1 son las siguientes:

  • Sustituye ocho intercambios iniciales por un único intercambio de cuatro mensajes.

  • Reduce la latencia de la configuración de SA de IPsec y aumenta la velocidad de establecimiento de la conexión.

  • Aumenta la solidez frente a ataques de denegación de la DOS.

  • Mejora la confiabilidad mediante el uso de números de secuencia, confirmaciones y corrección de errores.

  • Mejora la confiabilidad, ya que todos los mensajes son solicitudes o respuestas. El iniciador es responsable de retransmitir si no recibe ninguna respuesta.

IKEv2 incluye soporte para:

  • VPN basadas en la ruta.

    Nota

    IKEv2 no es compatible con VPN basadas en políticas.

  • VPN de sitio a sitio.

  • Detección de pares de tráfico muerto.

  • Clúster de chasis.

  • Autenticación basada en certificados.

  • SA secundarias. Una SA secundaria de IKEv2 se conoce como SA de fase 2 en IKEv1. En IKEv2, no puede existir una SA secundaria sin el ICR SA subyacente. Si se requiere una SA secundaria, ésta se reclave. Sin embargo, si las SA secundarias están activas actualmente, el ICR SA correspondiente se reclave.

    Nota

    En los dispositivos serie SRX, si se establece un túnel VPN de IPsec mediante IKEv2, es posible que se observe un pequeño número de paquetes durante el cambio de claves de regeneración de CHILD_SA como resultado del registro de "SPI dañado". Esto solo ocurre cuando el dispositivo serie SRX es el que responde para esta regeneración de claves y el interlocutor es un dispositivo no Juniper Networks, y la latencia entre los interlocutores es baja y la velocidad de paquetes es alta. Para evitar este problema, asegúrese de que el dispositivo serie SRX siempre inicia las reclaves estableciendo su duración de IPsec en un valor menor que el del mismo nivel.

  • AutoVPN.

  • VPN de extremo dinámico.

  • EAP se admite para el acceso remoto mediante IKEv2.

  • Selectores de tráfico.

IKEv2 no admite las características siguientes:

  • VPN basado en políticas.

  • Túneles de acceso telefónico.

  • Supervisión de VPN.

  • Varias SA secundarias para los mismos selectores de tráfico para cada valor QoS.

  • Protocolo de compresión de carga IP (IPComp).

A partir de la salida de Junos OS 19.1 R1, se introducen dos nuevas opciones para el responder-onlyresponder-only-no-rekeyestablish-tunnels establecimiento de túneles IPSec y se agregan [edit security ipsec vpn vpn-name] al comando bajo el nivel de jerarquía.

La responder-only opción no establece ningún túnel VPN desde el dispositivo, por lo que el túnel VPN se inicia desde el interlocutor remoto. Un túnel establecido reclave, tanto ICR como IPSec, basándose en el ICR configurado y los valores de duración de IPSec.

La responder-only-no-rekey opción no establece ningún túnel VPN desde el dispositivo, por lo que el túnel VPN se inicia desde el interlocutor remoto. Un túnel establecido no realiza recambios de claves del dispositivo y se basa en el interlocutor remoto para iniciar la regeneración de claves. Si el interlocutor remoto no inicia la regeneración de claves, la destrucción del túnel se produce cuando caduca la duración dura.

Descripción de la carga de configuración IKEv2

La carga de configuración es una característica de la versión 2 de la Intercambio de claves por red (IKEv2) usada para propagar la información de aprovisionamiento de un contestador (o servidor) a un iniciador (o cliente). La carga de configuración de IKEv2 solo se admite con VPN basadas en rutas.

RFC 5996, Protocolo Intercambio de claves por red versión 2 (IKEv2), define 15 atributos de configuración diferentes que el contestador puede devolver al iniciador. Tabla 1 describe los atributos de configuración de IKEv2 compatibles con serie SRX dispositivos.

Tabla 1: Atributos de configuración de IKEv2

Tipo de atributo

Valor

Descriptiva

Alarga

INTERNAL_IP4_ADDRESS

1

Especifica una dirección en la red interna. Se pueden solicitar varias direcciones internas. El contestador puede enviar hasta el número de direcciones solicitado.

0 ó 4 octetos

INTERNAL_IP4_NETMASK

2

Especifica el valor de la máscara de red interna. Solo se permite un valor de máscara de la sesión en los mensajes de solicitud y respuesta (por ejemplo, 255.255.255.0), y solo se debe usar con un atributo INTERNAL_IP4_ADDRESS.

0 ó 4 octetos

INTERNAL_IP4_DNS

3

Especifica la dirección de un servidor DNS en la red. Se pueden solicitar varios servidores DNS. El contestador puede responder con cero o más atributos del servidor DNS.

0 ó 4 octetos

INTERNAL_IP4_NBNS

4

Especifica la dirección de un servidor de nombres NetBIOS (NBNS), por ejemplo, un servidor WINS, dentro de la red. Se pueden solicitar varios servidores NBNS. El interlocutor que responde puede responder con cero o más atributos de servidor NBNS.

0 ó 4 octetos

INTERNAL_IP4_DHCP

6

Indica al host que envíe cualquier solicitud DHCP interna a la dirección contenida en el atributo. Se pueden solicitar varios servidores DHCP. El interlocutor que responde puede responder con cero o más atributos del servidor DHCP.

0 ó 4 octetos

Para que el ICR contestadora proporcione al iniciador la información de aprovisionamiento, debe adquirir la información de un origen especificado, como un servidor RADIUS. La información de aprovisionamiento también puede devolverse desde un servidor DHCP a través de un servidor RADIUS. En el servidor RADIUS, la información del usuario no debe incluir una contraseña de autenticación. El perfil del servidor RADIUS está enlazado a la puerta de aaa access-profile profile-name enlace de ICR utilizandoedit security ike gateway gateway-namela configuración en el nivel de jerarquía [].

En una VPN basada en la ruta, las interfaces de túnel seguro (st0) funcionan en el modo punto a multipunto o punto a punto. La asignación dinámica de direcciones a través de la carga de configuración de IKEv2 solo se admite para interfaces punto a multipunto. Para interfaces de punto a multipunto, las interfaces deben estar numeradas y las direcciones de la carga de configuración INTERNAL_IP4_ADDRESS tipo de atributo deben estar dentro del rango de subred de la interfaz de punto a multipunto asociada.

Descripción de aprovisionamiento de celda pico

La carga de configuración de IKEv2 se puede usar para propagar la información de aprovisionamiento de un ICR respondedor, como un dispositivo serie SRX, a varios iniciadores, como las estaciones de la celda de la celular de LTE pico en una red móvil. Las celdas de pico de envío de la fábrica tienen una configuración estándar que les permite conectarse al dispositivo de serie SRX, pero la información de aprovisionamiento de celdas de pico se almacena en uno o más servidores de aprovisionamiento en una red protegida. Las celdas pico reciben información de aprovisionamiento completa después de establecer conexiones seguras con los servidores de aprovisionamiento.

Se requiere que el flujo de trabajo arranque y aprovisione una celda pico y se introduce en el servicio incluye cuatro fases distintas:

  1. Direcciones iniciales adquisición—la celda pico de la fábrica incluye la siguiente información:
    • Configuración del túnel de puerta de enlace segura hacia el dispositivo serie SRX

    • Certificado digital expedido por el fabricante

    • El nombre de dominio completo (FQDN) de los servidores de aprovisionamiento que se encuentran en la red protegida

    La celda pico inicia y adquiere la dirección que se utilizará para ICR negociación desde un servidor DHCP. A continuación, se crea un túnel para la puerta de enlace segura en el dispositivo de serie SRX que utiliza esta dirección. El servidor DHCP asigna también al tráfico de funcionamiento, administración y administración (mantenimiento seguros) un uso en la red protegida.

  2. Pico de celda de aprovisionamiento—con su dirección de tráfico mantenimiento seguros asignada, la celda pico de solicita su información——de aprovisionamiento, que normalmente es el certificado de operador, licencia, software y configuración de los servidores incluidos en la red protegida.
  3. El reinicio—de la celda pico reinicia y usa la información de aprovisionamiento adquirida para que sea específica de la red y’el modelo de funcionamiento del proveedor de servicios.
  4. Provisión—de servicio cuando la celda pico entra en el servicio, usa un único certificado que contiene los valores de nombre completo (DN) y nombre alternativo de sujeto con un FQDN para crear dos túneles a la puerta de enlace segura en el dispositivo serie SRX: uno para el tráfico mantenimiento seguros y otro para el tráfico de datos de un proyecto de colaboración de tercera generación (3GPP).

Figura 1muestra un flujo de trabajo típico para una implementación de celda pico.

Figura 1: Flujo de trabajo típico de implementación de celda pico
 Flujo de trabajo típico de implementación de celda pico
Nota

La característica de carga de configuración de IKEv2 solo se admite para interfaces de túnel seguro punto a multipunto (st0). Las interfaces punto a multipunto deben estar numeradas y las direcciones que se proporcionan en la carga de configuración deben estar dentro del rango de subred de la interfaz de punto a multipunto asociada.