Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Descripción del procesamiento de paquetes IPsec e ICR de IPv6

 

Este tema incluye las siguientes secciones:

Procesamiento de paquetes del ICR IPv6

Intercambio de claves por red (ICR) forma parte del conjunto IPsec de protocolos. Habilita automáticamente dos extremos de túnel para configurar asociaciones de seguridad (SA) y negociar claves secretas entre sí. No es necesario configurar manualmente los parámetros de seguridad. ICR también proporciona autenticación para los elementos del mismo nivel que se comunican.

El procesamiento de paquetes ICR en redes IPv6 incluye los siguientes elementos:

  • Carga de identificación del Protocolo de administración de claves e Asociación de seguridad de Internet (ISAKMP)

    La carga de identificación de ISAKMP se utiliza para identificar y autenticar los interlocutores IPv6 que se comunican. Se habilitan dos tipos de ID (ID_IPV6_ADDR y ID_IPV6_ADDR_SUBNET) para IPv6. El tipo de ID. indica el tipo de identificación que se va a utilizar. El tipo de ID_IPV6_ADDR especifica una dirección IPv6 única de 16 octetos. Este tipo de identificador representa una dirección IPv6. El tipo ID_IPV6_ADDR_SUBNET especifica un rango de direcciones IPv6 representadas por valores de 2 16 octetos. Este tipo de identificador representa una máscara de red IPv6. Tabla 1 enumera los tipos de identificador y sus valores asignados en la carga de identificación.

    Tabla 1: Tipos de IDENTIFICADOres ISAKMP y sus valores

    ID (tipo)

    Valor

    Reservados

    0

    ID_IPV4_ADDR

    1

    ID_FQDN

    2

    ID_USER_FQDN

    3

    ID_IPV4_ADDR_SUBNET

    4

    ID_IPV6_ADDR

    5

    ID_IPV6_ADDR_SUBNET

    6

    ID_IPV4_ADDR_RANGE

    7

    ID_IPV6_ADDR_RANGE

    8

    ID_DER_ASN1_DN

    9

    ID_DER_ASN1_GN

    10

    ID_KEY_ID

    11

    ID_LIST

    12

    El tipo ID_IPV6_ADDR_RANGE especifica un rango de direcciones IPv6 representadas por valores de 2 16 octetos. El primer valor de octeto representa la dirección IPv6 de inicio y el segundo valor de octetos representa la dirección IPv6 final del intervalo. Todas las direcciones IPv6 que se encuentren entre la primera y la última dirección IPv6 se consideran parte de la lista.

    Nota

    En esta versión no se admiten dos tipos de ID. en la carga de identificación de ISAKMP (ID_IPV6_ADDR_RANGE y ID_IPV4_ADDR_RANGE).

  • ID de proxy

    Un ID de proxy se utiliza durante la fase 2 de ICR negociación. Se genera antes de que se establezca un túnel IPsec. Un ID de proxy identifica la SA que se utilizará para la VPN. Dos ID proxy se generan—como local y remoto. El ID de proxy local se refiere a las direcciones IPv4 o IPv6, red y máscara de subred locales. El ID de proxy remoto hace referencia a las direcciones IPv4 o IPv6, red y máscara de subred remotas.

  • Asociación de seguridad

    Una SA es un acuerdo entre los participantes de VPN para apoyar la comunicación segura. Las SA se diferencian según tres—parámetros índice de parámetro de seguridad (SPI), dirección IPv6 de destino y Protocolo de seguridad (ah o ESP). El SPI es un valor único asignado a una SA para ayudar a identificar una SA entre varias SA. En un paquete IPv6, la SA se identifica desde la dirección de destino en el encabezado IPv6 externo y el protocolo de seguridad se identifica desde el encabezado AH o el de ESP.

Procesamiento de paquetes IPsec IPv6

Después de completar ICR negociaciones y de que las dos puertas de enlace ICR han establecido una de las SA de las fases 1 y 2, IPv6 IPsec emplea las tecnologías de autenticación y cifrado para proteger los paquetes IPv6. Dado que las direcciones IPv6 tienen una longitud de 128 bits, en comparación con las direcciones IPv4, que tienen una longitud de 32 bits, el procesamiento de paquetes IPsec IPv6 requiere más recursos.

Nota

No se admite la reordenación de paquetes para fragmentos IPv6 a través de un túnel.

Los dispositivos con direccionamiento IPv6 no realizan fragmentación. Los hosts de IPv6 deben realizar el descubrimiento de MTU de ruta o enviar paquetes más pequeños que el tamaño de MTU mínimo de IPv6 de 1280 bytes.

Este tema incluye las siguientes secciones:

Protocolo AH en IPv6

El protocolo AH proporciona integridad de datos y autenticación de datos para paquetes de IPv6. IPsec IPv6 utiliza encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) que deben organizarse de una manera determinada en el datagrama IPv6. En el modo de túnel AH, el encabezado AH sigue inmediatamente al nuevo encabezado IPv6 externo, similar al que aparece en el modo de túnel AH de IPv4. Los encabezados de extensión se colocan después del encabezado interno original. Por lo tanto, en el modo de túnel AH, todo el paquete se encapsula mediante la adición de un nuevo encabezado IPv6 externo, seguido de un encabezado de autenticación, un encabezado interno, encabezados de extensión y el resto del datagrama Figura 1original, tal como se muestra en la.

Figura 1: Modo de túnel AH IPv6
Modo de túnel AH IPv6

A diferencia de lo que ocurre con ESP, el algoritmo de autenticación de AH abarca tanto al encabezado externo como a cualquier otro encabezado o opción de extensión.

Nota

El modo de túnel AH en serie SRX dispositivos no admite las opciones mutables de IPv4 ni los encabezados de extensión mutables IPv6. Consulte Tabla 2la.

Protocolo ESP en IPv6

El protocolo ESP proporciona cifrado y autenticación para paquetes de IPv6. Dado que IPsec IPv6 utiliza encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) en el datagrama IPv6, la diferencia más importante entre el modo de túnel IPv6 ESP y el modo de túnel IPv4 ESP radica en la colocación de los encabezados de extensión en el diseño de paquetes. En el modo de túnel ESP, el encabezado ESP sigue inmediatamente al nuevo encabezado IPv6 externo, similar al del modo de túnel IPv4 ESP. Por lo tanto, en el modo de túnel ESP, todo el paquete se encapsula mediante la adición de un nuevo encabezado IPv6 externo, seguido de un encabezado ESP, un encabezado interno, encabezados de extensión y el resto del datagrama original Figura 2tal y como se muestra en.

Figura 2: Modo de túnel IPv6 ESP
Modo de túnel IPv6 ESP

Opciones de IPv4 y encabezados de extensión de IPv6 con AH y ESP

Se pueden recibir paquetes IPsec con opciones IPv4 o encabezados de extensión de IPv6 para decapsulation en dispositivos serie SRX. Tabla 2 muestra las opciones de IPv4 o los encabezados de extensión de IPv6 que se admiten con el protocolo ESP o ah en los dispositivos serie SRX. Si se recibe un paquete IPsec no compatible, se produce un error en el cálculo de ICV y se descarta el paquete.

Tabla 2: Compatibilidad con opciones de IPv4 o encabezados de extensión de IPv6

Encabezados de opciones o extensión

SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM

Dispositivos SRX5400, SRX5600 y SRX5800

Opciones ESP con IPv4

Posible

Posible

ESP con encabezados de extensión de IPv6

Posible

Posible

AH con IPv4, opciones invariables

Posible

Posible

AH con encabezados de extensión invariable IPv6

Posible

Posible

AH con opciones mutables de IPv4

No compatible

No compatible

AH con encabezados de extensión mutable IPv6

No compatible

No compatible

Cálculo del valor de comprobación de integridad en IPv6

El protocolo AH comprueba la integridad del paquete IPv6 mediante el cálculo de un valor de comprobación de integridad (ICV) en el contenido del paquete. El ICV se suele crear sobre un algoritmo de autenticación, como MD5 o SHA-1. Los cálculos de ICV de IPv6 varían con respecto a IPv4 en lo que se—refiere a dos campos de encabezado encabezado mutable y un encabezado de extensión opcional.

Puede calcular el AH ICV sobre los campos de encabezado de IPv6 que son inmutables en tránsito o previsibles en el valor cuando llega en los extremos de túnel. También puede calcular el AH ICV sobre el encabezado AH y los datos de protocolo de alto nivel (considerados inmutables durante la transmisión). Puede calcular la ICV de ESP en todo el paquete IPv6, excluyendo el nuevo encabezado IPv6 externo y los encabezados de extensión opcionales.

Nota

A diferencia de IPv4, IPv6 cuenta con un método para marcar opciones como mutables en el tránsito. IPv6 los encabezados de extensión opcionales contienen un indicador que indica la mutabilidad. Este indicador determina el procesamiento adecuado.

Las opciones variables de IPv4 y los encabezados de extensión de IPv6 no son compatibles con el protocolo AH.

Construcción de encabezado en modos de túnel

En el modo de túnel, las direcciones de origen y destino del encabezado IPv4 o IPv6 externo representan los extremos del túnel, mientras que las direcciones de origen y de destino del encabezado IPv4 o IPv6 interno representan las direcciones de origen y destino finales. Tabla 3 resume cómo se relaciona el encabezado IPv6 externo con el encabezado interno IPv6 o IPv4 para los modos de túnel IPv6-en-IPv6 o IPv4-in-IPv6. En los campos de encabezado “exteriores” , construido significa que el valor del campo de encabezado exterior se construye independientemente del valor del campo de encabezado interno.

Tabla 3: Construcción de encabezado IPv6 para los modos de túnel IPv6-in-IPv6 e IPv4-in-IPv6

Los campos de encabezado

Encabezado exterior en encapsulador

Encabezado interno en Decapsulator

versi

6.

Ningún cambio.

Campo DS

Copiado de la cabecera interna.

Ningún cambio.

Campo ECN

Copiado de la cabecera interna.

Elabora.

etiqueta de flujo

0.

Ningún cambio.

longitud de carga útil

Elabora.

Ningún cambio.

siguiente encabezado

AH, ESP, y encabezado de enrutamiento.

Ningún cambio.

límite de saltos

64.

Disminución.

Dirección de origen

Elabora.

Ningún cambio.

Dirección de destino

Elabora.

Ningún cambio.

Encabezados de extensión

Nunca se copió.

Ningún cambio.

Tabla 4resume cómo se relaciona el encabezado IPv4 exterior con el encabezado interno IPv6 o IPv4 para los modos de túnel IPv6-en-IPv4 o IPv4-en-IPv4. En los campos de encabezado “exteriores” , construido significa que el valor del campo de encabezado exterior se construye independientemente del valor del campo de encabezado interno.

Tabla 4: Construcción de encabezado IPv4 para los modos de túnel IPv6-en-IPv4 y IPv4-en-IPv4

Los campos de encabezado

Encabezado exterior

Encabezado interno

versi

4.

Ningún cambio.

longitud del encabezado

Elabora.

Ningún cambio.

Campo DS

Copiado de la cabecera interna.

Ningún cambio.

Campo ECN

Copiado de la cabecera interna.

Elabora.

longitud total

Elabora.

Ningún cambio.

ID

Elabora.

Ningún cambio.

indicadores (DF, MF)

Elabora.

Ningún cambio.

desplazamiento de fragmento

Elabora.

Ningún cambio.

PERIODO

64.

Disminución.

Protocolo

AH, ESP

Ningún cambio.

MD5

Elabora.

Elabora.

Dirección de origen

Elabora.

Ningún cambio.

Dirección de destino

Elabora.

Ningún cambio.

Opciones

Nunca se copió.

Ningún cambio.

Para el modo de túnel IPv6 en IPv4, el bit’Don t FRAGMENT (DF) está desactivado de forma predeterminada. Si las df-bit set opciones df-bit copy o se configuran enedit security ipsec vpn vpn-nameel nivel de jerarquía [] para el correspondiente VPN de IPv4, se establecerá el bit DF en el encabezado de IPv4 exterior.

Para el modo de túnel IPv4 en IPv4, el bit DF del encabezado IPv4 exterior se basa en la df-bit opción configurada para el encabezado IPv4 interno. Si df-bit no se configura para el encabezado IPv4 interno, el bit DF se borra en el encabezado IPv4 exterior.