Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Configurando ADVPN con OSPFv3 para el tráfico de IPv6

 

En este ejemplo se muestra cómo configurar un concentrador de ADVPN y dos radios para crear un túnel de acceso directo y cambiar la topología de enrutamiento del host para que alcance al otro, sin enviar tráfico a través del concentrador. En este ejemplo, se configura el entorno de ADVPN para IPv6 utilizando el OSPFv3 para reenviar paquetes a través de los túneles VPN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos serie SRX compatibles como ADVPN Hub y Spokes

  • Junos OS Release 18.1 R1 y versiones posteriores.

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.

Nota

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo se muestra la configuración de un concentrador de ADVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo de inscripción de certificados simple (SCEP). Los certificados de los radios contienen el valor “de la unidad organizativa (OU)” SLT en el campo Subject (asunto); el concentrador está configurado con un ID de ICR de grupo para “que” coincida con el valor SLT del campo ou.

Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador ADVPN y todos los radios deben tener los mismos valores. Tabla 1 muestra las opciones utilizadas en este ejemplo.

Tabla 1: Opciones de fase 1 y fase 2 para ADPN Hub y Spoke OSPFv3 configuraciones básicas

,

Valor

ICR propuesta:

Método de autenticación

Certificados digitales de RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticación

SHA-384

Algoritmo de cifrado

AES 256 CBC

Directiva de ICR:

Medio

Principalmente

Propuesta de IPsec:

Protocolo

SENSORIAL

Segundos de duración

3000

Algoritmo de cifrado

AES 256 GCM

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

19

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Tabla 2muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 2: ADVPN OSPFv3 configuración para concentrador y todos los radios

,

Navegación

Todos los radios

Puerta de enlace de ICR:

Dirección IP remota

Manera

2001:db8:2000::1

ID. de ICR remoto

Nombre completo (DN) en el certificado’de radio s con la SLT cadena del campo de unidad organizativa (OU)

DN en el certificado’Hub s

ID. de ICR local

DN en el certificado’Hub s

DN en el certificado’de radio s

Interfaz externa

reth1

Radios 1: ge-0/0/0.0

Radios 2: ge-0/0/0.0

VIRTUALES

Enlazar interfaz

st0.1

st0.1

Establecer túneles

(no configurado)

establecer: túneles inmediatamente

Tabla 3muestra las opciones de configuración que son diferentes en cada radio.

Tabla 3: Comparación entre las configuraciones de radios OSPFv3

,

Radios 1

Radios 2

interfaz St 0.1

2001:db8:9000::2/64

2001:db8:9000::3/64

Interfaz a la red interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interfaz a Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.

Nota

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

Topología

Figura 1en este ejemplo se muestra el serie SRX dispositivos que se configurarán para ADVPN.

Figura 1: Implementación de ADVPN con OSPFv3
 Implementación de ADVPN con OSPFv3

Automática

Para configurar ADVPN, realice estas tareas:

Nota

En la primera sección, se describe cómo obtener certificados de CA y locales con el protocolo de inscripción de certificados simple (SCEP) en los dispositivos concentrados y radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento detallado

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la entidad emisora de certificados.
  2. Inscriba el certificado de la entidad emisora.

    Escríba yes Cuando se le solicite que cargue el certificado de la entidad emisora.

  3. Generar un par de claves.
  4. Inscriba el certificado local.
  5. Compruebe el certificado local.
    user@host> show security pki local-certificate detail

Procedimiento detallado

Para inscribir certificados digitales con SCEP en los radios 1:

  1. Configure la entidad emisora de certificados.
  2. Inscriba el certificado de la entidad emisora.

    Escríba yes Cuando se le solicite que cargue el certificado de la entidad emisora.

  3. Generar un par de claves.
  4. Inscriba el certificado local.
  5. Compruebe el certificado local.
    user@host> show security pki local-certificate detail
    Nota

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Procedimiento detallado

Para inscribir certificados digitales con SCEP en radios 2:

  1. Configure la entidad emisora de certificados.
  2. Inscriba el certificado de la entidad emisora.

    Escríba yes Cuando se le solicite que cargue el certificado de la entidad emisora.

  3. Generar un par de claves.
  4. Inscriba el certificado local.
  5. Compruebe el certificado local.
    user@host> show security pki local-certificate detail
    Nota

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Configurando el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar el concentrador:

  1. Configure las interfaces.
  2. Configure el protocolo de enrutamiento.
  3. Configure las opciones de fase 1.
  4. Configure las opciones de fase 2.
  5. Configurar zonas.
  6. Configure la Directiva de seguridad predeterminada.
  7. Configure el perfil de CA.
  8. Configurar el clúster del chasis

Resultados

Desde el modo de configuración, confirme la configuración especificando show protocolslos show routing-optionsshow interfacescomandos show security ike, show security ipsec, show security zones, show security policies,, show security pki show chassis cluster y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar radios 1:

  1. Configurar interfaces.
  2. Configure el protocolo de enrutamiento.
  3. Configure las opciones de fase 1.
  4. Configure las opciones de fase 2.
  5. Configurar zonas.
  6. Configure la Directiva de seguridad predeterminada.
  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar radios 2:

  1. Configurar interfaces.
  2. Configure el protocolo de enrutamiento.
  3. Configure las opciones de fase 1.
  4. Configure las opciones de fase 2.
  5. Configurar zonas.
  6. Configure la Directiva de seguridad predeterminada.
  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando el estado ICR

Finalidad

Compruebe el estado ICR.

Acción

En modo operativo, escriba el show security ike sa mando.

user@host> show security ike sa

Significado

El show security ike sa comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobar el estado de IPsec

Finalidad

Compruebe el estado de IPsec.

Acción

En modo operativo, escriba el show security ipsec sa mando.

user@host> show security ipsec sa

Significado

El show security ipsec sa comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.

Comprobación de los túneles IPsec de próximo salto

Finalidad

Compruebe los túneles de próximos saltos IPsec.

Acción

En modo operativo, escriba el show security ipsec next-hop-tunnels mando.

user@host> show security ipsec next-hop-tunnels

Significado

Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.

Comprobando OSPFv3

Finalidad

Compruebe que OSPFv3 hace referencia a las direcciones IP st0 de las interfaces de los radios.

Acción

En modo operativo, escriba el show ospf3 neighbor interface mando.

user@host> show ospf3 neighbor interface