ON THIS PAGE
Ejemplo Configuración de túneles de pila dual a través de una interfaz externa
En este ejemplo se muestra cómo configurar túneles IPv4 e IPv6 paralelos en una sola interfaz física externa a un interlocutor para VPN de sitio a sitio basadas en la ruta.
Aplicables
Antes de comenzar, lea Understanding VPN Tunnel Modes.
La configuración mostrada en este ejemplo sólo es compatible con VPN de sitio a sitio basadas en rutas.
Descripción general
En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6 paralelos a un dispositivo del mismo nivel:
El túnel IPv4 lleva el tráfico IPv6; funciona en el modo de túnel IPv6-in-IPv4. La interfaz de túnel seguro St 0.0 enlazada al túnel IPv4 se configura con la familia inet6 solamente.
El túnel IPv6 lleva tanto el tráfico IPv4 como IPv6; funciona en los modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6. La interfaz de túnel seguro St 0.1 enlazada al túnel IPv6 está configurada con las familias inet y inet6.
Tabla 1muestra las opciones de la fase 1 utilizadas en este ejemplo. La configuración de la opción de la fase 1 incluye dos configuraciones de puerta de enlace ICR, una al interlocutor IPv6 y la otra a IPv4 del mismo nivel.
Tabla 1: Opciones de la fase 1 para la configuración del túnel de doble pila
, | Valor |
|---|---|
ICR propuesta | ike_proposal |
Método de autenticación | Claves previamente compartidas |
Algoritmo de autenticación | MD5 |
Algoritmo de cifrado | 3DES CBC |
Cesiones | 3600 segundos |
ICR Directiva | ike_policy |
Medio | Ambiciosa |
ICR propuesta | ike_proposal |
Clave previamente compartida | Texto ASCII |
Puerta de enlace de ICR IPv6 | ike_gw_v6 |
ICR Directiva | ike_policy |
Dirección de puerta de enlace | 2000::2 |
Interfaz externa | Reth 1.0 |
ICR versión | IKEv2 |
Puerta de enlace de ICR IPv4 | ike_gw_v4 |
ICR Directiva | ike_policy |
Dirección de puerta de enlace | 20.0.0.2 |
Interfaz externa | Reth 1.0 |
Tabla 2muestra las opciones de la fase 2 utilizadas en este ejemplo. La configuración de la opción fase 2 incluye dos configuraciones VPN: una para el túnel IPv6 y la otra para el túnel IPv4.
Tabla 2: Opciones de la fase 2 para la configuración del túnel de doble pila
, | Valor |
|---|---|
Propuesta de IPsec | ipsec_proposal |
Protocolo | SENSORIAL |
Algoritmo de autenticación | HMAC SHA-1 96 |
Algoritmo de cifrado | 3DES CBC |
Directiva IPsec | ipsec_policy |
Clasificado | ipsec_proposal |
VPN de IPv6 | test_s2s_v6 |
Enlazar interfaz | st0.1 |
Puerta de enlace ICR | ike_gw_v6 |
ICR la directiva IPsec | ipsec_policy |
Establecer túneles | Justo |
VPN IPv4 | test_s2s_v4 |
Enlazar interfaz | st0.0 |
Puerta de enlace ICR | ike_gw_4 |
ICR la directiva IPsec | ipsec_policy |
Las siguientes rutas estáticas se configuran en la tabla de enrutamiento IPv6:
Enrutar el tráfico IPv6 hasta el 3000::1/128 hasta el St 0.0.
Enrutar el tráfico IPv6 hasta el 3000::2/128 hasta el St 0.1.
Una ruta estática se configura en la tabla de enrutamiento de valores predeterminados (IPv4) para enrutar el tráfico IPv4 a 30.0.0.0/24 hasta St 0.1.
El procesamiento basado en flujos del tráfico IPv6 debe estar habilitado mode flow-based con la opción de configuraciónedit security forwarding-options family inet6en el nivel de jerarquía [].
Topología
En Figura 1, el dispositivo serie SRX a admite túneles IPv4 e IPv6 hasta dispositivo B. el tráfico ipv6 hacia 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 al tráfico 3000::2/128 e IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.
Automática
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
Procedimiento detallado
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode de configuración Guía de usuario de CLIen el.
Para configurar túneles de pila dual:
- Configure la interfaz externa.[edit interfaces]user@host# set ge-0/0/1 gigether-options redundant-parent reth1user@host# set ge-8/0/1 gigether-options redundant-parent reth1user@host# set reth1 redundant-ether-options redundancy-group 1user@host# set reth1 unit 0 family inet address 20.0.0.1/24user@host# set reth1 unit 0 family inet6 address 2000::1/64
- Configure las interfaces de túnel seguro.[edit interfaces]user@host# set st0 unit 0 family inet6user@host# set st0 unit 1 family inetuser@host# set st0 unit 1 family inet6
- Configure las opciones de fase 1.[edit security ike proposal ike_proposal]user@host# set authentication-method pre-shared-keysuser@host# set authentication-algorithm md5user@host# set encryption-algorithm 3des-cbcuser@host# set lifetime-seconds 3600[edit security ike policy ike_policy]user@host# set mode aggressiveuser@host# set proposals ike_proposaluser@host# set pre-shared-key ascii-text "$ABC123"[edit security ike gateway ike_gw_v6]user@host# set ike-policy ike_policyuser@host# set address 2000::2user@host# set external-interface reth1.0user@host# set version v2-only[edit security ike gateway ike_gw_v4]user@host# set ike-policy ike_policyuser@host# set address 20.0.0.2user@host# set external-interface reth1.0
- Configure las opciones de fase 2.[edit security ipsec proposal ipsec_proposal]user@host# set protocol espuser@host# set authentication-algorithm hmac-sha1-96user@host# set encryption-algorithm 3des-cbc[edit security ipsec policy ipsec_policy]user@host# set proposals ipsec_proposal[edit security ipsec vpn test_s2s_v6 ]user@host# set bind-interface st0.1user@host# set ike gateway ike_gw_v6user@host# set ike ipsec-policy ipsec_policyuser@host# set establish-tunnels immediately[edit security ipsec vpn test_s2s_v4]user@host# set bind-interface st0.0user@host# set ike gateway ike_gw_v4user@host# set ike ipsec-policy ipsec_policy
- Configurar rutas estáticas.[edit routing-options rib inet6.0]user@host# set static route 3000::1/128 next-hop st0.0user@host# set static route 3000::2/128 next-hop st0.1[edit routing-options]user@host# set static route 30.0.0.0/24 next-hop st0.1
- Habilite el reenvío basado en flujos IPv6.[edit security forwarding-options]user@host# set family inet6 mode flow-based
Resultados
Desde el modo de configuración show interfaces, especifique los comandos, show security ike, show security ipsecshow routing-options, y show security forwarding-options para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Comproba
Confirme que la configuración funciona correctamente.
Comprobación del estado de la fase 1 ICR
Finalidad
Compruebe el estado de la fase 1 ICR.
Acción
En modo operativo, escriba el show security ike security-associations comando.
user@host> show security ike security-associationsIndex State Initiator cookie Responder cookie Mode Remote Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
Significado
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 1 deben coincidir en los dispositivos del mismo nivel.
Comprobando el estado de la fase 2 de IPsec
Finalidad
Compruebe el estado de la fase 2 de IPsec.
Acción
En modo operativo, escriba el show security ipsec security-associations comando.
user@host> show security ipsec security-associationsTotal active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
Significado
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en los dispositivos del mismo nivel.
Comprobando rutas
Finalidad
Comprobar las rutas activas.
Acción
En modo operativo, escriba el show route comando.
user@host> show routeinet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.5.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
2000::/64 *[Direct/0] 03:45:41
> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
3000::2/128 *[Static/5] 00:03:45
> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
Significado
El show route comando enumera las entradas activas en las tablas de enrutamiento.