Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Configuración de túneles de pila dual a través de una interfaz externa

 

En este ejemplo se muestra cómo configurar túneles IPv4 e IPv6 paralelos en una sola interfaz física externa a un interlocutor para VPN de sitio a sitio basadas en la ruta.

Aplicables

Antes de comenzar, lea Understanding VPN Tunnel Modes.

Nota

La configuración mostrada en este ejemplo sólo es compatible con VPN de sitio a sitio basadas en rutas.

Descripción general

En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6 paralelos a un dispositivo del mismo nivel:

  • El túnel IPv4 lleva el tráfico IPv6; funciona en el modo de túnel IPv6-in-IPv4. La interfaz de túnel seguro St 0.0 enlazada al túnel IPv4 se configura con la familia inet6 solamente.

  • El túnel IPv6 lleva tanto el tráfico IPv4 como IPv6; funciona en los modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6. La interfaz de túnel seguro St 0.1 enlazada al túnel IPv6 está configurada con las familias inet y inet6.

Tabla 1muestra las opciones de la fase 1 utilizadas en este ejemplo. La configuración de la opción de la fase 1 incluye dos configuraciones de puerta de enlace ICR, una al interlocutor IPv6 y la otra a IPv4 del mismo nivel.

Tabla 1: Opciones de la fase 1 para la configuración del túnel de doble pila

,

Valor

ICR propuesta

ike_proposal

Método de autenticación

Claves previamente compartidas

Algoritmo de autenticación

MD5

Algoritmo de cifrado

3DES CBC

Cesiones

3600 segundos

ICR Directiva

ike_policy

Medio

Ambiciosa

ICR propuesta

ike_proposal

Clave previamente compartida

Texto ASCII

Puerta de enlace de ICR IPv6

ike_gw_v6

ICR Directiva

ike_policy

Dirección de puerta de enlace

2000::2

Interfaz externa

Reth 1.0

ICR versión

IKEv2

Puerta de enlace de ICR IPv4

ike_gw_v4

ICR Directiva

ike_policy

Dirección de puerta de enlace

20.0.0.2

Interfaz externa

Reth 1.0

Tabla 2muestra las opciones de la fase 2 utilizadas en este ejemplo. La configuración de la opción fase 2 incluye dos configuraciones VPN: una para el túnel IPv6 y la otra para el túnel IPv4.

Tabla 2: Opciones de la fase 2 para la configuración del túnel de doble pila

,

Valor

Propuesta de IPsec

ipsec_proposal

Protocolo

SENSORIAL

Algoritmo de autenticación

HMAC SHA-1 96

Algoritmo de cifrado

3DES CBC

Directiva IPsec

ipsec_policy

Clasificado

ipsec_proposal

VPN de IPv6

test_s2s_v6

Enlazar interfaz

st0.1

Puerta de enlace ICR

ike_gw_v6

ICR la directiva IPsec

ipsec_policy

Establecer túneles

Justo

VPN IPv4

test_s2s_v4

Enlazar interfaz

st0.0

Puerta de enlace ICR

ike_gw_4

ICR la directiva IPsec

ipsec_policy

Las siguientes rutas estáticas se configuran en la tabla de enrutamiento IPv6:

  • Enrutar el tráfico IPv6 hasta el 3000::1/128 hasta el St 0.0.

  • Enrutar el tráfico IPv6 hasta el 3000::2/128 hasta el St 0.1.

Una ruta estática se configura en la tabla de enrutamiento de valores predeterminados (IPv4) para enrutar el tráfico IPv4 a 30.0.0.0/24 hasta St 0.1.

Nota

El procesamiento basado en flujos del tráfico IPv6 debe estar habilitado mode flow-based con la opción de configuraciónedit security forwarding-options family inet6en el nivel de jerarquía [].

Topología

En Figura 1, el dispositivo serie SRX a admite túneles IPv4 e IPv6 hasta dispositivo B. el tráfico ipv6 hacia 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 al tráfico 3000::2/128 e IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.

Figura 1: Ejemplo de túnel de pila dual
 Ejemplo de túnel de pila dual

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode de configuración Guía de usuario de CLIen el.

Para configurar túneles de pila dual:

  1. Configure la interfaz externa.
  2. Configure las interfaces de túnel seguro.
  3. Configure las opciones de fase 1.
  4. Configure las opciones de fase 2.
  5. Configurar rutas estáticas.
  6. Habilite el reenvío basado en flujos IPv6.

Resultados

Desde el modo de configuración show interfaces, especifique los comandos, show security ike, show security ipsecshow routing-options, y show security forwarding-options para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación del estado de la fase 1 ICR

Finalidad

Compruebe el estado de la fase 1 ICR.

Acción

En modo operativo, escriba el show security ike security-associations comando.

user@host> show security ike security-associations

Significado

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 1 deben coincidir en los dispositivos del mismo nivel.

Comprobando el estado de la fase 2 de IPsec

Finalidad

Compruebe el estado de la fase 2 de IPsec.

Acción

En modo operativo, escriba el show security ipsec security-associations comando.

user@host> show security ipsec security-associations

Significado

El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en los dispositivos del mismo nivel.

Comprobando rutas

Finalidad

Comprobar las rutas activas.

Acción

En modo operativo, escriba el show route comando.

user@host> show route

Significado

El show route comando enumera las entradas activas en las tablas de enrutamiento.