Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Configuración de una VPN de concentrador y periferia

 

En este ejemplo se muestra cómo configurar una VPN de IPsec radial para una implementación de clase empresarial.

Aplicables

Este ejemplo utiliza el siguiente hardware:

  • Dispositivo SRX240

  • Dispositivo SRX5800

  • Dispositivo SSG140

Antes de comenzar, lea IPsec VPN Overview.

Descripción general

En este ejemplo se describe cómo configurar una VPN de concentrador y periferia que normalmente se encuentra en las implementaciones de sucursales. El concentrador es la oficina corporativa, y hay dos radios:—una sucursal en Sunnyvale, California, y una sucursal en Westford, Massachusetts. Los usuarios de las sucursales utilizarán la VPN para transferir datos de forma segura con la oficina corporativa.

Figura 1muestra un ejemplo de una topología VPN radial. En esta topología, un dispositivo SRX5800 se encuentra en la oficina corporativa. Un dispositivo serie SRX se encuentra en la sucursal Westford, y un dispositivo SSG140 se encuentra en la rama Sunnyvale.

Figura 1: Topología VPN de concentrador y periferia
 Topología VPN de concentrador y periferia

En este ejemplo, puede configurar el concentrador de la oficina corporativa, los radios Westford y los radios de la Sunnyvale. En primer lugar, configure las interfaces, las rutas estáticas y predeterminadas de IPv4, las zonas de seguridad y las libretas de direcciones. A continuación, configure ICR parámetros Phase 1 e IPsec Phase 2, y enlace la interfaz St 0.0 al VPN de IPsec. En el concentrador, configure St 0.0 para multipoint y agregue una entrada de la tabla NHTB estática para The Sunnyvale Spokes. Por último, configure la Directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 1 a Tabla 5 través de los parámetros de configuración específicos que se utilizan en este ejemplo.

Tabla 1: Información de interfaz, zona de seguridad y libreta de direcciones

Concentrador o periferia

Función

Nombre

Parámetros de configuración

Navegación

Interfaces

ge-0/0/0.0

192.168.10.1/24

  

ge-0/0/3.0

10.1.1.2/30

  

st0

10.11.11.10/24

Feria

Interfaces

ge-0/0/0.0

10.3.3.2/30

  

ge-0/0/3.0

192.168.178.1/24

  

st0

10.11.11.12/24

Navegación

Zonas de seguridad

confia

  • Se permiten todos los servicios del sistema.

  • La interfaz GE-0/0/0.0 está enlazada a esta zona.

  

no fiable

  • ICR es el único servicio de sistema permitido.

  • La interfaz GE-0/0/3.0 está enlazada a esta zona.

  

virtuales

La interfaz St 0.0 está enlazada a esta zona.

Feria

Zonas de seguridad

confia

  • Se permiten todos los servicios del sistema.

  • La interfaz GE-0/0/3.0 está enlazada a esta zona.

  

no fiable

  • ICR es el único servicio de sistema permitido.

  • La interfaz GE-0/0/0.0 está enlazada a esta zona.

  

virtuales

La interfaz St 0.0 está enlazada a esta zona.

Navegación

Entradas de la libreta de direcciones

local-net

  • Esta dirección es para la libreta de’direcciones s de la zona de confianza.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.10.0/24.

  

Sunnyvale-net

  • Esta libreta de direcciones está desguíada’para la libreta de direcciones de la zona VPN.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.168.0/24.

  

Westford-net

  • Esta dirección es para la libreta de’direcciones de la zona de VPN.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.178.0/24.

Feria

Entradas de la libreta de direcciones

local-net

  • Esta dirección es para la libreta de’direcciones s de la zona de confianza.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.168.178.0/24.

  

Corp net

  • Esta dirección es para la libreta de’direcciones de la zona de VPN.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.10.0/24.

  

Sunnyvale-net

  • Esta dirección es para la libreta de’direcciones de la zona de VPN.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.168.0/24.

Tabla 2: Parámetros de configuración de ICR fase 1

Concentrador o periferia

Función

Nombre

Parámetros de configuración

Navegación

Clasificado

ike-phase1-proposal

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: aes-128-cbc

 

Políticas

ike-phase1-policy

  • Medio principalmente

  • Referencia de la propuesta: ike-phase1-proposal

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

 

Gateway

GW-Westford

  • Referencia de políticas ICR: ike-phase1-policy

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.3.3.2

  

GW-Sunnyvale

  • Referencia de políticas ICR: ike-phase1-policy

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.2.2.2

Feria

Clasificado

ike-phase1-proposal

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: aes-128-cbc

 

Políticas

ike-phase1-policy

  • Medio principalmente

  • Referencia de la propuesta: ike-phase1-proposal

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

 

Gateway

GW-corporativo

  • Referencia de políticas ICR: ike-phase1-policy

  • Interfaz externa: ge-0/0/0.0

  • Dirección de puerta de enlace: 10.1.1.2

Tabla 3: Parámetros de configuración de la fase 2 de IPsec

Concentrador o periferia

Función

Nombre

Parámetros de configuración

Navegación

Clasificado

ipsec-phase2-proposal

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: aes-128-cbc

 

Políticas

ipsec-phase2-policy

  • Referencia de la propuesta: ipsec-phase2-proposal

  • PF Diffie-Hellman grupo2

 

VIRTUALES

VPN-Sunnyvale

  • Referencia de puerta de enlace ICR: GW-Sunnyvale

  • Referencia de directiva IPsec: ipsec-phase2-policy

  • Enlazar con interfaz: st0.0

  

VPN-Westford

  • Referencia de puerta de enlace ICR: GW-Westford

  • Referencia de directiva IPsec: ipsec-phase2-policy

  • Enlazar con interfaz: st0.0

Feria

Clasificado

ipsec-phase2-proposal

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: aes-128-cbc

 

Políticas

ipsec-phase2-policy

  • Referencia de la propuesta: ipsec-phase2-proposal

  • PF Diffie-Hellman grupo2

 

VIRTUALES

VPN-Corporate

  • Referencia de puerta de enlace ICR: GW-corporativo

  • Referencia de directiva IPsec: ipsec-phase2-policy

  • Enlazar con interfaz: st0.0

Tabla 4: Parámetros de configuración de la Directiva de seguridad

Concentrador o periferia

Purpose

Nombre

Parámetros de configuración

Navegación

La Directiva de seguridad permite el tráfico desde la zona de confianza a la zona VPN.

locales a los radios

  • Criterios de coincidencia:

    • Dirección de origen-red local

    • destino-dirección Sunnyvale-net

    • destino-dirección Westford-net

    • aplicación cualquier

 

La Directiva de seguridad permite el tráfico desde la zona VPN hasta la zona de confianza.

radios en el local

Criterios de coincidencia:

  • Source-Address Sunnyvale-net

  • Source-Address Westford-net

  • Dirección de destino de la red local

  • aplicación cualquier

 

La Directiva de seguridad permite el tráfico en la zona.

radio a periferia

Criterios de coincidencia:

  • Source-Address any

  • destino cualquiera

  • aplicación cualquier

Feria

La Directiva de seguridad permite el tráfico desde la zona de confianza a la zona VPN.

to-Corp

  • Criterios de coincidencia:

    • Dirección de origen-red local

    • destino-dirección Corp net

    • destino-dirección Sunnyvale-net

    • aplicación cualquier

 

La Directiva de seguridad permite el tráfico desde la zona VPN hasta la zona de confianza.

from-Corp

Criterios de coincidencia:

  • Source-Address Corp-net

  • Source-Address Sunnyvale-net

  • Dirección de destino de la red local

  • aplicación cualquier

 

La Directiva de seguridad permite el tráfico desde la zona de no confianza hasta la zona de confianza.

permiso-any

Criterios de coincidencia:

  • Source-Address any

  • origen-destino cualquiera

  • aplicación cualquier

  • Acción de permiso: interfaz NAT de origen

    Al especificar source-nat interface, el dispositivo serie SRX traduce la dirección IP de origen y el puerto para el tráfico saliente, utilizando la dirección IP de la interfaz de salida como dirección IP de origen y un puerto aleatorio de alto número para el puerto de origen.

Tabla 5: Parámetros de configuración de TCP-MSS

Purpose

Parámetros de configuración

TCC: MSS se negocia como parte del Protocolo de enlace de TCP por tres vías y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y Frame, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que produce una fragmentación. La fragmentación da como resultado un uso más elevado de los recursos de dispositivos y ancho de banda.

Nota: El valor 1350 es un punto de partida recomendado para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que necesite experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo de la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Automática

Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar la red básica, la zona de seguridad y la información de la libreta de direcciones para el concentrador:

  1. Configurar la información de interfaz Ethernet.
  2. Configurar la información de rutas estáticas.
  3. Configure la zona de seguridad que no es de confianza.
  4. Asigne una interfaz a la zona de seguridad de no confianza.
  5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
  6. Configure la zona de seguridad de confianza.
  7. Asigne una interfaz a la zona de seguridad de confianza.
  8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
  9. Cree una libreta de direcciones y adjúntela a ella una zona.
  10. Configure la zona de seguridad VPN.
  11. Asigne una interfaz a la zona de seguridad VPN.
  12. Crear otra libreta de direcciones y conectarle una zona.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurando ICR para el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar ICR para el concentrador:

  1. Cree la propuesta ICR fase 1.
  2. Defina el método de autenticación de propuesta de ICR.
  3. Definir el grupo Diffie-Hellman de la propuesta de ICR.
  4. Defina el algoritmo de autenticación de propuesta de ICR.
  5. Defina el algoritmo de cifrado de la propuesta de ICR.
  6. Crear una directiva ICR la fase 1.
  7. Establecer el modo de directiva ICR fase 1.
  8. Especifique una referencia a la propuesta de ICR.
  9. Defina el método de autenticación de directivas ICR fase 1.
  10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
  11. Defina la referencia de directiva ICR fase 1.
  12. Defina la dirección de puerta de enlace ICR Phase 1.
  13. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
  14. Defina la referencia de directiva ICR fase 1.
  15. Defina la dirección de puerta de enlace ICR Phase 1.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec para el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar IPsec para el concentrador:

  1. Cree una propuesta relativa a la fase 2 de IPsec.
  2. Especifique el protocolo de propuesta de fase 2 de IPsec.
  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
  5. Crear la Directiva de fase 2 de IPsec.
  6. Especifique la referencia a la propuesta de la fase 2 de IPsec.
  7. Especificar IPsec PFS de fase 2 para utilizar Diffie-Hellman Group 2.
  8. Especifique las puertas de enlace ICR.
  9. Especifique las directivas de la fase 2 de IPsec.
  10. Especifique la interfaz que se va a enlazar.
  11. Configure la interfaz st0 como multipunto.
  12. Agregue entradas de la tabla NHTB estáticas para las oficinas de Sunnyvale y Westford.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de políticas de seguridad para el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar las políticas de seguridad del concentrador:

  1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
  2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
  3. Crear la Directiva de seguridad para permitir el tráfico en la zona.

Resultados

Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar TCP-MSS para el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

Para configurar la información de MSS de TCP para el concentrador:

  1. Configure TCP-MSS Information.

Resultados

Desde el modo de configuración, escriba el show security flow comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el Westford de radios de la periferia

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar la red básica, la zona de seguridad y la información de la libreta de direcciones para la Westford radios:

  1. Configurar la información de interfaz Ethernet.
  2. Configurar la información de rutas estáticas.
  3. Configure la zona de seguridad que no es de confianza.
  4. Asigne una interfaz a la zona de seguridad.
  5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
  6. Configure la zona de seguridad de confianza.
  7. Asigne una interfaz a la zona de seguridad de confianza.
  8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
  9. Configure la zona de seguridad VPN.
  10. Asigne una interfaz a la zona de seguridad VPN.
  11. Cree una libreta de direcciones y adjúntela a ella una zona.
  12. Crear otra libreta de direcciones y conectarle una zona.

Resultados

Desde el modo de configuración, escriba el show interfaces, show routing-options, show security zonesy show security address-book órdenes. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, escriba commit desde el modo de configuración.

Configuración de ICR para Westford radios

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar ICR para los radios Westford:

  1. Cree la propuesta ICR fase 1.
  2. Defina el método de autenticación de propuesta de ICR.
  3. Definir el grupo Diffie-Hellman de la propuesta de ICR.
  4. Defina el algoritmo de autenticación de propuesta de ICR.
  5. Defina el algoritmo de cifrado de la propuesta de ICR.
  6. Crear una directiva ICR la fase 1.
  7. Establecer el modo de directiva ICR fase 1.
  8. Especifique una referencia a la propuesta de ICR.
  9. Defina el método de autenticación de directivas ICR fase 1.
  10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
  11. Defina la referencia de directiva ICR fase 1.
  12. Defina la dirección de puerta de enlace ICR Phase 1.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec para Westford radios

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar IPsec para las radios Westford:

  1. Cree una propuesta relativa a la fase 2 de IPsec.
  2. Especifique el protocolo de propuesta de fase 2 de IPsec.
  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
  5. Crear la Directiva de fase 2 de IPsec.
  6. Especifique la referencia a la propuesta de la fase 2 de IPsec.
  7. Especificar IPsec PFS de fase 2 para utilizar Diffie-Hellman Group 2.
  8. Especifique el ICR puerta de enlace.
  9. Especifique la directiva IPsec de fase 2.
  10. Especifique la interfaz que se va a enlazar.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de políticas de seguridad para las radios Westford

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar las políticas de seguridad para el Westford radios:

  1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
  2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.

Resultados

Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar TCP-MSS para Westford radios

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

Para configurar TCP-MSS para el Westford radios:

  1. Configure TCP-MSS Information.

Resultados

Desde el modo de configuración, escriba el show security flow comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del radio de Sunnyvale

Configuración rápida de CLI

En este ejemplo se utiliza un dispositivo serie SSG para los radios Sunnyvale. Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más información acerca de la configuración de dispositivos serie SSG, consulte la Guía de referencia de conceptos y ejemplos, que se encuentra en https://www.Juniper.net/Documentation.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, escriba commit desde el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación del estado de la fase 1 ICR

Finalidad

Compruebe el estado de la fase 1 ICR.

Acción

Nota

Antes de iniciar el proceso de verificación, es necesario enviar tráfico desde un host en la red 192.168.10/24 a un host de las redes 192.168.168/24 y 192.168.178/24 para que los túneles estén en funcionamiento. En el caso de VPN basadas en rutas, puede enviar tráfico iniciado desde el dispositivo serie SRX a través del túnel. A la hora de probar túneles IPsec, se recomienda enviar tráfico de prueba desde un dispositivo independiente en un extremo de la VPN a un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.

En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.

user@hub> show security ike security-associations
user@hub> show security ike security-associations index 6 detail

Significado

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Index—este valor es único para cada ICR SA, que puede utilizar en el show security ike security-associations index detail comando para obtener más información acerca de la SA.

  • Dirección—remota Compruebe que la dirección IP remota es correcta.

  • Estado

    • Se—ha establecido la Asociación de seguridad de la fase 1.

    • —Se ha producido un problema al establecer la SA de la fase 1.

  • Modo—Compruebe que se está utilizando el modo correcto.

Compruebe que la siguiente información de la configuración es correcta:

  • Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • ICR parámetros de políticas

  • Información de claves previamente compartidas

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)

El show security ike security-associations index 1 detail comando enumera la información adicional acerca de la Asociación de seguridad con el número de índice 1:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de rol de iniciador y de contestador

    Nota

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobación del estado de la fase 2 de IPsec

Finalidad

Compruebe el estado de la fase 2 de IPsec.

Acción

En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.

user@hub> show security ipsec security-associations
user@hub> show security ipsec security-associations index 16385 detail

Significado

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • El número de identificación es 16385. Utilice este valor con el show security ipsec security-associations index comando para obtener más información acerca de esta SA en particular.

  • Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 28756/unlim indica que la duración de la fase 2 caduca en 28756 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica que la supervisión no está activa.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

La salida del show security ipsec security-associations index 16385 detail comando muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID. de proxy de la SA.

    Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta, el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.

  • Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.

Comprobación de los enlaces de túnel del próximo salto

Finalidad

Después de completar la fase 2 para todos los interlocutores, compruebe los enlaces de túnel del próximo salto.

Acción

En modo operativo, escriba el show security ipsec next-hop-tunnels comando.

user@hub> show security ipsec next-hop-tunnels

Significado

Las puertas de enlace de próximo salto son las direcciones IP de las interfaces st0 de todos los interlocutores de radio remotos. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec. Si no existe ninguna entrada NHTB, es posible que el dispositivo concentrador distinga qué VPN de IPsec está asociada con el siguiente salto.

El campo indicador tiene uno de los siguientes valores:

  • La— NHTB estática se configuró manualmente en las configuraciones de la interfaz St 0.0, que es necesaria si el interlocutor no es un dispositivo serie SRX.

  • No— se configuró NHTB automático, pero la entrada se llenó automáticamente en la tabla NHTB durante las negociaciones de la fase 2 entre dos dispositivos serie SRX

No hay ninguna tabla NHTB para ninguno de los sitios radiales de este ejemplo. Desde la perspectiva de los radios, la interfaz st0 sigue siendo un vínculo punto a punto con un único enlace VPN de IPsec.

Comprobar rutas estáticas para LAN locales del mismo nivel

Finalidad

Compruebe que la ruta estática hace referencia a la’dirección IP del mismo nivel de st0 de radios.

Acción

En modo operativo, escriba el show route comando.

user@hub> show route 192.168.168.10
user@hub> show route 192.168.178.10

El siguiente salto es la dirección IP’del homólogo del mismo nivel st0 remoto y ambas rutas señalan a St 0.0 como interfaz de salida.

Revisar las estadísticas y los errores de una asociación de seguridad IPsec

Finalidad

Revisar los contadores ESP y los encabezados de autenticación, así como los errores de una asociación de seguridad IPsec.

Acción

En modo operativo, escriba el show security ipsec statistics index comando.

user@hub> show security ipsec statistics index 16385

También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los errores de todas las SA.

Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.

Significado

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando show security ipsec statistics detail o varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar si el resto de los contadores de errores se están incrementando.

Probar el flujo de tráfico a través de la VPN

Finalidad

Compruebe el flujo de tráfico a través de la VPN.

Acción

Puede utilizar el ping comando del dispositivo de serie SRX para probar el flujo de tráfico en el PC de un host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de la Directiva.

En modo operativo, escriba el ping comando.

user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5

También puede usar el ping comando del dispositivo serie SSG.

user@hub> ping 192.168.10.10 from ethernet0/6
ssg-> ping 192.168.178.10 from ethernet0/6

Significado

Si el ping comando no funciona desde el dispositivo de la serie serie SRX o SSG, es posible que exista un problema con el enrutamiento, las directivas de seguridad, el host final o el cifrado y descifrado de los paquetes ESP.