Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Agrupar VPNv1

 

La VPN de grupo es un conjunto de características que son necesarias para proteger el tráfico de grupos de multidifusión IP o el tráfico de unidifusión a través de una WAN privada que se origina o fluye a través de un dispositivo.

Descripción general del grupo VPNv1

Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red privada virtual (VPN) que define las reglas que se utilizarán para los algoritmos de autenticación y cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con las implementaciones de VPN actuales, la SA es un túnel punto a punto entre dos dispositivos de seguridad. Grupo VPNv1 extiende la arquitectura IPsec para admitir las asociaciones de seguridad que comparten un grupo de dispositivos, Figura 1(consulte).

Figura 1: IPsec estándar VPN y grupo VPNv1
 IPsec estándar VPN y grupo VPNv1

El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. Con VPNv1 de grupo, la conectividad de cualquier medio a cualquier se consigue conservando las direcciones IP originales de origen y destino en el encabezado exterior. Los paquetes de multidifusión seguros se replican de la misma manera que los paquetes de multidifusión de texto de la red principal.

Nota

A partir de Junos OS versión 12.3 X48-D30, Group VPNv1 Members puede interoperar con servidores VPNv2 Group.

Nota

El grupo VPNv1 tiene algunas limitaciones delimitativas relativas al RFC 6407, El dominio de interpretación del grupo (GDOI). Para usar la VPN del grupo sin limitaciones patentadoras, actualice al grupo VPNv2. El grupo VPNv2 se admite en las instancias de vSRX que comienzan por Junos OS versión 15.1-D30, serie SRX los dispositivos que comienzan con Junos OS Release 15.1 X49-D40 y los dispositivos de la serie MX a partir de Junos OS Release 15.1 R2.

Descripción del protocolo GDOI para el grupo VPNv1

El grupo VPNv1 se basa en RFC 3547, Dominio de interpretación del grupo (GDOI). Esta RFC describe el protocolo entre miembros del grupo y un servidor de grupo para establecer asociaciones de la SA entre los miembros del grupo. GDOI los mensajes crean, mantienen o eliminan las SA para un grupo de dispositivos. El protocolo GDOI se ejecuta en el puerto 848.

El protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP) define dos fases de negociación para establecer SA para un túnel AutoKey ICR IPsec. La fase 1 permite que dos dispositivos establezcan una SA de ISAKMP. La fase 2 establece SAS para otros protocolos de seguridad, como GDOI.

Con VPN de grupo, fase 1 se realiza una negociación de SA ISAKMP entre un servidor de grupo y un miembro del grupo. El servidor y el miembro deben utilizar la misma directiva ISAKMP. En la fase 2, los intercambios de GDOI entre el servidor y el miembro establecen las SA que se comparten con otros miembros del grupo. Un miembro del grupo no necesita negociar el IPsec con otros miembros del grupo. Los intercambios de GDOI en la fase 2 deben estar protegidos por las SA ISAKMP Phase 1.

Hay dos tipos de intercambios de GDOI:

  • El groupkey-pull intercambio permite que un miembro solicite SAS y claves compartidas por el grupo desde el servidor.

  • El groupkey-push intercambio es un mensaje de regeneración de clave único que permite que el servidor envíe las asociaciones de red y de grupo a los miembros antes de que caduquen las SA de grupo existentes. Los mensajes de regeneración de claves son mensajes no solicitados enviados desde el servidor a los miembros.

Descripción de las limitaciones de VPNv1 de grupo

Los siguientes elementos no se admiten en esta versión del grupo VPNv1:

  • Instancias de enrutamiento no predeterminadas

  • Clúster de chasis

  • Clústeres de servidores

  • VPN de grupo basado en la ruta

  • Implementación pública basada en Internet

  • SNMP

  • Denegar Directiva a través de Cisco obtener servidor VPN

  • J-interfaz web para configuración y supervisión

A partir de Junos OS versión 12.3 X48-D30, los miembros del grupo VPNv1 en SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y los dispositivos SRX650 pueden interoperar con servidores VPNv2 de grupo. Cuando configure miembros de VPNv1 de grupo para usarlos con servidores VPNv2 de grupos, tenga en cuenta las limitaciones siguientes:

  • Group VPNv2 admite la especificación de borrador de IETF Protocolo de detección de retraso de entrega IP para un mecanismo de antireplay basado en tiempos. Por lo tanto, la antireplay basada en el protocolo de detección de retraso de la entrega IP no es compatible con los miembros del VPNv1 del grupo deactivate security group-vpn server group group-name anti-replay-time-window y debe deshabilitarse en el grupo VPNv2 servidor con el comando.

  • El servidor VPNv2 de grupo no admite la coubicación, donde las funciones de servidor y miembro de grupo del grupo se encuentran en el mismo dispositivo.

  • El servidor VPNv2 de grupo no admite la transmisión de latidos. Debe deshabilitarse Heartbeat en el grupo VPNv1 miembro con deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold el comando. Se recomienda utilizar los clústeres del servidor VPNv2 del grupo para evitar el impacto del tráfico debido a los reinicios u otras interrupciones en el servidor VPNv2 del grupo.

  • Groupkey-los mensajes de inserción enviados desde el grupo VPNv2 Server se basan en RFC 6407, El dominio de interpretación del grupo (GDOI) y no se admiten en miembros de VPNv1 de grupo. Por lo tanto, los mensajes de inserción de groupkey deben estar deshabilitados en deactivate security group-vpn server group group-name server-member-communication el grupo VPNv2 servidor con el comando.

    Las claves se admiten con mensajes groupkey-pull. Si hay problemas de escalabilidad en los que los miembros de VPNv1 de grupo no pueden completar la operación de groupkey antes de que expire la TEK dura, recomendamos aumentar la duración de TEK para permitir un tiempo suficiente para que los miembros completen la operación de groupkey-pull. Los’números de escalado Juniper s están calificados con una Tek de vida útil de 2 horas.

  • Si el grupo VPNv2 del servidor se reinicia o se actualiza, o bien se borran las SA del grupo, no es posible agregar nuevos miembros a la red hasta que no se produzca la siguiente regeneración de claves para los miembros existentes. Los nuevos miembros no pueden enviar tráfico a los miembros existentes que tienen claves antiguas. Como solución, borre las SA del grupo existente VPNv1 los miembros con el clear security group-vpn member ipsec security-associations comando.

  • Dado que los miembros del VPNv2 de grupo no admiten el tráfico de datos de multidifusión, no se puede usar el tráfico de datos de multidifusión cuando los miembros del grupo VPNv1 y el grupo VPNv2 coexisten en la red para el mismo grupo.

Descripción de los servidores y miembros del VPNv1 de grupo

El centro de una VPN de grupo es el servidor de grupo. El servidor de grupo realiza las tareas siguientes:

  • Controles de pertenencia a grupos

  • Genera claves de cifrado

  • Administra las SA del grupo y las claves, y las distribuye a los miembros del grupo

Los miembros del grupo cifran el tráfico en función de las SA y las claves del grupo que proporciona el servidor del grupo.

Un servidor de grupo puede atender A varios grupos. Un único dispositivo de seguridad puede ser miembro de varios grupos.

Cada grupo se representa mediante un identificador de grupo, que es un número comprendido entre 1 y 65.535. El servidor del grupo y los miembros del grupo se vinculan conjuntamente por el identificador de grupo. Solo puede haber un identificador de grupo por grupo, y varios grupos no pueden usar el mismo identificador de grupo.

A continuación se muestra una vista de alto nivel del servidor VPN de grupo y las acciones de los miembros:

  1. El servidor del grupo escucha en el puerto UDP 848 a fin de que los miembros se registren. Un dispositivo miembro debe proporcionar una autenticación correcta de ICR fase 1 con el fin de unirse al grupo. Se admite la autenticación de clave previamente compartida para una base por miembro.
  2. Tras una autenticación y un registro exitosos, el dispositivo miembro recupera las claves y los SA del grupo del groupkey-pull servidor con un intercambio GDOI.
  3. El servidor agrega el miembro a la pertenencia del grupo.
  4. Miembros del grupo intercambiar paquetes cifrados con claves de SA de grupo.

El servidor envía periódicamente SA y actualizaciones de clave a los miembros del grupo con mensajes de groupkey-pushregeneración de claves (GDOI). Los mensajes de regeneración de claves se envían antes de que las SA expiren; Esto garantiza que las claves válidas estén disponibles para el cifrado de tráfico entre los miembros del grupo.

El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los miembros cuando se produce un cambio en la pertenencia a grupos o cuando la Asociación de grupo ha cambiado.

Descripción de la VPNv1 de grupo de servidores: comunicación de miembro

El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. La comunicación entre el servidor y el miembro permite que groupkey-push el servidor envíe GDOI mensajes de correo a los miembros. Si la comunicación del servidor o miembro no está configurada para el grupo, groupkey-pull los miembros pueden enviar mensajes de GDOI para registrarse y volver a registrar con el servidor, pero el servidor no podrá enviar mensajes de regeneración de claves a los miembros.

La comunicación entre el servidor y el miembro se configura para el server-member-communication grupo mediante el uso deedit security group-vpn serverla instrucción de configuración en la jerarquía []. Se pueden definir las siguientes opciones:

  • Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede especificar 3DES-CBC, AES-128-CBC, AES-192-CBC, AES-256-CBC o des-CBC. No hay ningún algoritmo predeterminado.

  • Algoritmo de autenticación (MD5 o SHA1) que se utiliza para autenticar el miembro en el servidor. No hay ningún algoritmo predeterminado.

  • Si el servidor envía mensajes de regeneración de claves de unidifusión o multidifusión a los miembros del grupo y los parámetros relacionados con el tipo de comunicación.

  • Intervalo de tiempo en el que el servidor envía mensajes de latido al miembro del grupo. Esto permite que el miembro determine si el servidor se ha reiniciado, lo que requeriría que el miembro se volvera a registrar con el servidor. El valor predeterminado es 300 segundos.

  • Duración de la clave de cifrado de clave (KEK). El valor predeterminado es 3600 segundos.

Nota

La configuración de la comunicación entre miembros del servidor es necesaria para que el servidor de grupo envíe mensajes de regeneración de claves a los miembros, pero puede haber situaciones en las que no se desee este comportamiento. Por ejemplo, si los miembros del grupo son homólogos dinámicos (como en una oficina doméstica), los dispositivos no siempre están en funcionamiento y la dirección IP de un dispositivo puede ser diferente cada vez que se enciende. La configuración de la comunicación entre miembros del servidor para un grupo de pares dinámicos puede ocasionar transmisiones innecesarias del servidor. Si desea que siempre se realice ICR negociación de SA de la fase 1 para proteger la negociación de GDOI, no configure la comunicación de los miembros del servidor.

Si no se configura la comunicación de miembro de servidor para un grupo, la lista de pertenencia que aparece en el show security group-vpn server registered-members comando muestra los miembros del grupo que se han registrado con el servidor; los miembros pueden estar activos o no. Cuando se configura la comunicación entre miembros del servidor para un grupo, la lista de pertenencia a grupos se borra. Si el tipo de comunicación se configura como unidifusión, show security group-vpn server registered-members el comando muestra sólo los miembros activos. Si el tipo de comunicación está configurado como multidifusión show security group-vpn server registered-members , el comando muestra miembros que se han registrado con el servidor después de la configuración; la lista de pertenencias no representa necesariamente los miembros activos porque los miembros pueden descartarse después del registro.

Descripción de las operaciones de clave de grupo VPNv1 Group

Este tema contiene las siguientes secciones:

Claves de grupo

El servidor de grupo mantiene una base de datos para hacer un seguimiento de la relación entre grupos VPN, miembros de grupo y claves de grupo. Existen dos tipos de claves de grupo que el servidor descarga a los miembros:

  • Clave de cifrado de clave—(KEK) usada para cifrar mensajes de regenerar claves. Se admite un KEK por grupo.

  • Clave de cifrado de tráfico—(Tek) utilizada para cifrar y descifrar el tráfico de datos IPSec entre miembros del grupo.

Un miembro del Grupo acepta la clave asociada con una SA solo si existe una directiva de ámbito coincidente configurada en el miembro. Se ha instalado una clave aceptada para el grupo VPN, mientras que una clave rechazada se descarta.

Mensajes de regenerar claves

Si el grupo está configurado para comunicaciones de miembro de servidor, el servidor envía periódicamente SA y actualizaciones de clave a los miembros del grupo con mensajes groupkey-pushde regeneración de claves (GDOI). Los mensajes de regeneración de claves se envían antes de que las SA expiren; Esto garantiza que las claves válidas estén disponibles para el cifrado de tráfico entre los miembros del grupo.

El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los miembros cuando se produce un cambio en la pertenencia a un grupo o cuando la SA del grupo ha cambiado (por ejemplo, cuando se agrega o se elimina una directiva de grupo).

Las opciones de comunicación del miembro del servidor deben estar configuradas en el servidor para permitir que el servidor envíe mensajes de regeneración de claves a los miembros del grupo. Estas opciones especifican el tipo de mensaje y los intervalos en los que se envían, tal y como se explica en las secciones siguientes:

Tipos de mensajes de recambios de claves

Hay dos tipos de mensajes de cambio de claves:

  • Mensajes—de regeneración de claves de unidifusión, el servidor de grupo envía una copia del mensaje de regeneración de claves a cada miembro del grupo. Una vez recibido el mensaje de regeneración de claves, los miembros deben enviar una confirmación (ACK) al servidor. Si el servidor no recibe una confirmación de un miembro (incluida la retransmisión de mensajes de regeneración de claves), el servidor considera que el miembro está inactivo y lo quita de la lista de integrantes. El servidor deja de enviar mensajes de regeneración de claves al miembro.

    Las number-of-retransmission instrucciones retransmission-period de configuración para las comunicaciones del miembro de servidor controlan el reenvío de mensajes de cambio de claves del servidor cuando no se recibe ACK de un miembro.

  • Mensajes—de regeneración de claves de multidifusión el servidor de grupo envía una copia del mensaje de regeneración de claves de la interfaz de salida especificada a la dirección del grupo de multidifusión configurada. Los miembros no envían confirmación de la recepción de mensajes de regeneración de claves de multidifusión. La lista de pertenencia registrada no representa necesariamente los miembros activos porque los miembros pueden descartarse después del registro inicial. Todos los miembros del grupo deben estar configurados para admitir mensajes de multidifusión.

    Nota

    Los protocolos de multidifusión IP deben configurarse para permitir la entrega de tráfico de multidifusión en la red. Para obtener información detallada sobre la configuración de protocolos de multidifusión en Juniper Networks dispositivos, consulte Guía del usuario de multicast Protocols.

Intervalos de regeneración

El intervalo en el que el servidor envía los mensajes de regeneración de claves se calcula en lifetime-seconds función activation-time-delay de los valores de lasedit security group-vpn server groupinstrucciones de configuración y en la jerarquía []. El intervalo se calcula como lifetime-secondsmenos 4 * (activation-time-delay).

El lifetime-seconds para el KEK se configura como parte de las comunicaciones entre miembros del servidor; el valor predeterminado es 3600 segundos. El lifetime-seconds de Tek está configurado para la propuesta de IPSec; el valor predeterminado es 3600 segundos. El activation-time-delay está configurado para el grupo en el servidor; el valor predeterminado es 15 segundos. Si se utilizan los valores lifetime-seconds predeterminados para y activation-time-delay, el intervalo en el que el servidor envía los mensajes de regeneración de claves es 3600 menos 4 * 15o 3540 segundos.

Registro de miembro

Si un miembro del grupo no recibe una nueva clave de SA del servidor antes de que caduque la clave actual, el miembro debe volver a registrarse con el servidor y obtener claves actualizadas groupkey-pull con un intercambio GDOI. En este caso, el intervalo en el que el servidor envía los mensajes de regeneración de claves se calcula de la siguiente manera: lifetime-secondsmenos 3 * (activation-time-delay). Si se utilizan los valores lifetime-seconds predeterminados para y activation-time-delay, el intervalo en el que el servidor envía los mensajes de regeneración de claves es 3600 menos 3 * 15 ó 3555 segundos.

El reregistro de un miembro puede tener lugar por las siguientes razones:

  • El miembro detecta un reinicio del servidor debido a la ausencia de latidos recibidos del servidor.

  • El mensaje de regeneración de claves del servidor de grupo se pierde o se retrasa, y la vigencia de la TEK ha expirado.

Activación de claves

Cuando un miembro recibe una nueva clave del servidor, espera un período de tiempo antes de usar la clave para el cifrado. Este periodo de tiempo lo determina la activation-time-delay declaración de configuración y si la clave se recibe a través de un mensaje de regeneración de claves enviado desde el servidor o como resultado de que el miembro vuelva a registrarse con el servidor.

Si la clave se recibe a través de un mensaje de cambio de claves enviado desde el servidor, el miembroactivation-time-delayespera 2 * () segundos antes de usar la clave. Si la clave se recibe mediante el reregistro del miembro, el miembro espera el número de segundos especificado por activation-time-delay el valor.

Un miembro conserva las dos claves más recientes enviadas desde el servidor para cada SA de grupo instalado en el miembro. Ambas claves se pueden utilizar para el descifrado, mientras que la clave más reciente se utiliza para el cifrado. La clave anterior se quita el número de segundos especificado por el activation-time-delay valor después de activar la nueva clave.

El valor predeterminado de activation-time-delay la instrucción de configuración es 15 segundos. Establecer este periodo de tiempo demasiado pequeño puede hacer que se descarte un paquete en un miembro de un grupo remoto antes de que se instale la nueva clave. Tenga en cuenta la topología de red y los retrasos de activation-time-delay transporte del sistema cuando cambie el valor. En el caso de las transmisiones de unidifusión, el retraso de transporte del sistema es proporcional al número de miembros del grupo.

Un servidor VPNv1 de grupo puede enviar varias claves de cifrado de tráfico (TEKs) a un grupo VPNv1 miembro groupkey-pull en respuesta a una solicitud. A continuación, se describe cómo el miembro VPNv1 de grupo controla las TEK existentes y el TEKs que recibe del servidor:

  • Si el miembro VPNv1 del grupo recibe dos o más TEKs, contiene las dos TEKs más recientes y elimina el TEK existente. De las dos TEKs, el TEK antiguo se activa inmediatamente y el TEK más reciente se activa después de que activation-time-delay haya configurado en el grupo VPNv1 servidor (el valor predeterminado es 15 segundos).

  • Si el miembro VPNv1 del grupo recibe una sola TEK o si recibe un TEK a través de groupkey-push un mensaje del servidor, el Tek existente no se eliminará hasta que la duración del disco duro expire. La duración no se acorta para el TEK existente.

El miembro VPNv1 del grupo sigue instalando un TEK recibido incluso si la duración TEK es inferior a dos veces activation-time-delay el valor.

Descripción de los mensajes de latido de VPNv1 de grupo

Cuando se configura la comunicación entre miembros del servidor, el servidor VPNv1 de grupos envía mensajes de latido a los miembros en intervalos específicos (el intervalo predeterminado es de 300 segundos). El mecanismo de latido permite que los miembros vuelvan a registrarse en el servidor si no se recibe el número especificado de latidos. Por ejemplo, los miembros no recibirán mensajes de latido durante un reinicio del servidor. Cuando el servidor se ha reiniciado, los miembros se vuelve a registrar con el servidor.

Los latidos se transmiten a través groupkey-push de los mensajes. El número de secuencia se incrementa en cada mensaje de latido, lo que protege a los miembros de los ataques de respuesta. A diferencia de los mensajes de regeneración de claves, los destinatarios no reconocen los mensajes de latido y no son retransmitidos por el servidor.

Los mensajes de latido contienen la siguiente información:

  • Estado actual y configuración de las claves en el servidor

  • Hora relativa, si antireplay está habilitada

Mediante la comparación de la información de los latidos, un miembro puede detectar si ha perdido información del servidor o mensajes de regeneración de claves. El miembro vuelve a registrarse para sincronizarse con el servidor.

Nota

Los mensajes de latido pueden aumentar la congestión de la red y provocar registros de miembros innecesarios. Por lo tanto, la detección de latidos puede deshabilitarse en el miembro si es necesario.

Descripción del VPNv1 de grupo de servidores: modo de coubicación de miembros

Las funciones miembro de agrupación y servidor son independientes y no se superponen. Las funciones de servidor y miembro pueden coexistir en el mismo dispositivo físico, lo que se denomina modo de coubicación. En el modo de coubicación, no se produce ningún cambio en cuanto a la funcionalidad y comportamiento del servidor o de un miembro, sino que el servidor y el miembro deben tener asignados direcciones IP diferentes para que los paquetes se puedan entregar correctamente. En el modo de coubicación, sólo puede haber una dirección IP asignada al servidor y una dirección IP asignada al miembro entre varios grupos.

Descripción general de la configuración del grupo VPNv1

Este tema describe las tareas principales para configurar VPNv1 de grupo.

En el servidor de grupo, configure lo siguiente:

  1. ICR negociación de la fase 1. Utilice la jerarquíaedit security group-vpn server ike[] para configurar el ICR SA de la fase 1. Consulte Understanding IKE Phase 1 Configuration for Group VPNv2 .
  2. SA IPSec de la fase 2. Consulte Understanding IPsec SA Configuration for Group VPNv1.
  3. Grupo VPN. Consulte Group VPNv1 Configuration Overview.

En el miembro del grupo, configure lo siguiente:

  1. ICR negociación de la fase 1. Utilice la jerarquíaedit security group-vpn member ike[] para configurar ICR SA de la fase 1. Consulte Understanding IKE Phase 1 Configuration for Group VPNv1 .
  2. SA IPSec de la fase 2. Consulte Understanding IPsec SA Configuration for Group VPNv1.
  3. Directiva de ámbito que determina qué directivas de grupo están instaladas en el miembro. Consulte Understanding Dynamic Policies for Group VPNv1.
Nota

Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS esté configurada para un tamaño unidad máxima de transmisión (MTU) no superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de MTU.

El grupo de VPN se configura en el servidor con group la instrucción de configuración enedit security group-vpn serverla jerarquía [].

La información del grupo consta de la siguiente información:

  • Identificador—de grupo valor comprendido entre 1 y 65.535 que identifica el grupo VPN. Se debe configurar el mismo identificador de grupo en el miembro del grupo para Autokey ICR.

  • Miembros del grupo, como se ha ike-gateway configurado con la instrucción de configuración. Puede haber varias instancias de esta instrucción de configuración, una por cada miembro del grupo.

  • Dirección IP del servidor (se recomienda la dirección de la interfaz de bucle).

  • Directivas de—grupo de directivas que se van a descargar a los miembros. Las directivas de grupo describen el tráfico al que se aplican la SA y las claves. Consulte Understanding Dynamic Policies for Group VPNv1.

  • Comunicación—de servidor-miembro configuración opcional que permite al servidor enviar mensajes de regeneración de claves a los miembros. Consulte Group VPNv1 Overview.

  • Antireplay—configuración opcional que detecta la interceptación y la reproducción del paquete. Consulte Understanding Antireplay for Group VPNv1.

Descripción ICR configuración de la fase 1 para el grupo VPNv1

Una asociación de seguridad de ICR fase 1 entre el servidor de grupo y un miembro del grupo establece un canal seguro en el que negociar las SA IPsec compartidas por un grupo. Para VPN IPsec estándar en dispositivos de seguridad de Juniper Networks , la configuración de SA de la fase 1 consiste en especificar una propuesta, una directiva y una puerta de enlace de ICR. Para el grupo VPNv1, la configuración de SA ICR Phase 1 es similar a la configuración de VPN estándar de IPSec, pero se realizaedit security group-vpnen la jerarquía [].

En la configuración de propuesta de ICR, configure el método de autenticación y los algoritmos de autenticación y cifrado que se utilizarán para abrir un canal seguro entre los participantes. En la configuración de políticas ICR, se establece el modo (principal o agresivo) en el que se negociará el canal de la fase 1, se especifica el tipo de intercambio de claves que se va a usar y se hace referencia a la propuesta de la fase 1. En la configuración de puerta de enlace ICR, se hace referencia a la Directiva de fase 1.

Nota

Dado que VPNv2 de grupo solo admite algoritmos seguros sha-256 , la opción de algoritmo de autenticación se admite para los miembros del grupo VPNv1 en SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y en los dispositivos de SRX650. Cuando los miembros del grupo VPNv1 interoperen con servidores del grupo VPNv2, esta opción debe estar configurada en edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 el grupo VPNv1 miembros con el comando. En el servidor VPNv2 del grupo authentication-algorithm sha-256 , deben configurarse para propuestas authentication-algorithm hmac-sha-256-128 de ICR y deben configurarse para propuestas IPSec.

Si una puerta de enlace de ICR de un grupo VPNv1 miembro está configurada con más de una dirección “de puerta de enlace, se mostrará el mensaje de error solo una” dirección remota por ICR configuración de puerta de enlace cuando se confirme la configuración.

La configuración ICR Phase 1 del servidor de grupo debe coincidir con la configuración ICR Phase 1 en los miembros del grupo.

Descripción de la configuración de SA de IPsec para el grupo VPNv1

Una vez que el servidor y el miembro han establecido un canal seguro y autenticado en la negociación de la fase 1, avanzan a través de la fase 2. La negociación de la fase 2 establece las SA de IPsec que comparten los miembros del grupo para proteger los datos que se transmiten entre los miembros. Aunque la configuración de SA IPsec para VPN de grupo es similar a la configuración de VPN estándar, no es necesario que un miembro del grupo negocie la SA con otros miembros del grupo.

Fase 2 la configuración de IPSec del grupo VPNv1 consta de la siguiente información:

  • Una propuesta para el protocolo de seguridad, autenticación y algoritmo de cifrado que se utilizará para la SA. La propuesta de Asociación de IPSec se configura en el servidor de proposal grupo con la instrucción deedit security group-vpn server ipsecconfiguración en la jerarquía [].

  • Una directiva de grupo que hace referencia a la propuesta. Una directiva de grupo especifica el tráfico (Protocolo, dirección de origen, Puerto de origen, dirección de destino y puerto de destino) al que se aplican la SA y las claves. La Directiva de grupo se configura en el servidor con ipsec-sa la instrucción de configuración enedit security group-vpn server group la jerarquía [].

  • Una ICR Autokey que hace referencia al identificador de grupo, el servidor de grupo (configurado ike-gateway con la instrucción de configuración) y la interfaz utilizada por el miembro para conectarse al grupo. La ICR Autokey se configura en el miembro con la ipsec vpn instrucción de configuración en laedit security group-vpn memberjerarquía [].

Descripción de las políticas dinámicas para el grupo VPNv1

El servidor de grupo distribuye las asociaciones de as y las claves del grupo a los miembros de un grupo especificado. Todos los miembros que pertenecen al mismo grupo pueden compartir el mismo conjunto de SA de IPsec. No obstante, no todas las SA configuradas para un grupo se instalan en todos los miembros del grupo. La SA instalada en un miembro específico lo determina la directiva asociada con el grupo SA y las políticas de seguridad configuradas en el miembro.

En un grupo de VPN, cada SA de grupo y la clave que el servidor inserta en un miembro se asocia con una directiva de grupo. La Directiva de grupo describe el tráfico del que debe utilizarse la clave, incluidos el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino.

Nota

Las directivas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino, Puerto de origen, Puerto de destino y valores de protocolo) no pueden existir para un único grupo. Si intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo, se devuelve un error. Si este es el caso, debe eliminar una de las políticas de grupo idénticas.

En un miembro del grupo, debe configurarse una directiva de ámbito que defina el ámbito de la Directiva de grupo descargada del servidor. Una directiva de grupo distribuida desde el servidor se compara con las directivas de ámbito configuradas en el miembro. Para instalar una directiva de grupo en el miembro, deben cumplirse las siguientes condiciones:

  • Cualquier dirección especificada en la Directiva de grupo debe estar en el intervalo de direcciones especificado en la Directiva de ámbito.

  • El puerto de origen, el puerto de destino y el protocolo especificados en la Directiva de grupo deben coincidir con los configurados en la Directiva de ámbito.

Una directiva de grupo instalada en un miembro se denomina Directiva dinámica.

Una directiva de ámbito puede formar parte de una lista ordenada de políticas de seguridad para un contexto específico de zona y a zona. Junos OS realiza una búsqueda de políticas de seguridad en los paquetes entrantes empezando por la parte superior de la lista ordenada.

Dependiendo de la posición de la Directiva de ámbito dentro de la lista ordenada de políticas de seguridad, existen varias posibilidades para la búsqueda de políticas dinámicas:

  • Si el paquete entrante coincide con una directiva de seguridad antes de que se considere la Directiva de ámbito, no se realiza la búsqueda dinámica de políticas.

  • Si una directiva entrante coincide con una directiva de ámbito, el proceso de búsqueda continúa para una directiva dinámica coincidente. Si hay una directiva dinámica coincidente, se realiza la acción de directiva (permit). Si no hay ninguna directiva dinámica coincidente, el proceso de búsqueda sigue buscando las directivas debajo de la Directiva de ámbito.

    Nota

    En esta versión, solo se tunnel permite la acción de una directiva de ámbito. No se admiten otras acciones.

Para configurar una directiva de ámbito en un miembro del grupo, policies utilice la instrucción de configuraciónedit securityen la jerarquía []. Utilice la ipsec-group-vpn instrucción de configuración en la regla permitir túnel para hacer referencia al grupo VPN; Esto permite a los miembros del Grupo compartir una sola SA.

Descripción de Antireplay para el VPNv1 del grupo

Antireplay es una característica de IPsec que puede detectar cuándo un paquete es interceptado y lo reproducen los intrusos. Antireplay está habilitada de forma predeterminada para VPN de grupo, pero puede deshabilitarse no-anti-replay para un grupo con la instrucción de configuración.

Cuando antireplay está habilitado, el servidor de grupo sincroniza el tiempo entre los miembros del grupo. Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la’marca de hora del paquete está anti-replay-time-window dentro del valor configurado (el valor predeterminado es 100 segundos). Un paquete se descarta si la marca de hora supera el valor.

Ejemplo Configuración del servidor y los miembros del VPNv1 de grupo

En este ejemplo se muestra cómo configurar VPNv1 de grupo para ampliar la arquitectura IPsec de modo que admita las asociaciones de seguridad compartidas por un grupo de dispositivos. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Aplicables

Antes de empezar:

Descripción general

En Figura 2, una VPN de grupo se compone de dos dispositivos miembro (member1 y miembro2) y un servidor de grupo (la dirección IP de la interfaz de bucle invertido en el servidor es 20.0.0.1). El identificador de grupo es 1.

Figura 2: Ejemplo de configuración del miembro del servidor
Ejemplo de configuración del miembro del servidor

Las SA de grupo de fase 2 deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración VPN de grupo debe incluir la configuración ICR negociaciones de la fase 1 tanto en el servidor de grupo como en los miembros del grupo. Además, debe configurarse el mismo identificador de grupo tanto en el servidor del grupo como en los miembros del grupo.

Las directivas de grupo se configuran en el servidor de grupo. Todas las directivas de grupo configuradas para un grupo se descargan en miembros del grupo. Las políticas de ámbito configuradas en un miembro del grupo determinan qué directivas de grupo se instalan realmente en el miembro. En este ejemplo, las siguientes directivas de grupo se configuran en el servidor del grupo para descargarlas en todos los miembros del Grupo:

  • P1—permite todo el tráfico desde 10.1.0.0/16 hasta 10.2.0.0./16

  • P2—permite todo el tráfico desde 10.2.0.0./16 hasta 10.1.0.0/16

  • P3—permite el tráfico de multidifusión de 10.1.1.1/32

El dispositivo member1 se configura con políticas de ámbito que permiten todo el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8. No hay ninguna directiva de ámbito configurada en member1 para permitir el tráfico de multidifusión; por lo tanto, la Directiva de SA P3 no está instalada en member1.

El dispositivo miembro2 está configurado con directivas de ámbito que quitan el tráfico del 10.1.0.0/16 de la zona de confianza a la zona de no confianza y 10.1.0.0/16 de la zona de no confianza a la zona de confianza. Por tanto, la Directiva de SA P2 no está instalada en miembro2.

Automática

Configuración del servidor del grupo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar el servidor del Grupo:

  1. Configure la dirección de bucle de retroceso en el dispositivo.
  2. Configure ICR SA de la fase 1 (esta configuración debe coincidir con la SA de la fase 1 configurada en los miembros del grupo).
  3. Defina la Directiva de ICR y establezca las puertas de enlace remotas.
  4. Configure el intercambio de SA de la fase 2.
  5. Configure el identificador de grupo y ICR puerta de enlace.
  6. Configurar las comunicaciones de servidor a miembro.
  7. Configure las directivas de grupo que se van a descargar en miembros del grupo.

Resultados

Desde el modo de configuración, escriba el show security group-vpn server comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurando Member1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar member1:

  1. Configure la SA de la fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).
  2. Defina la Directiva de ICR y establezca las puertas de enlace remotas.
  3. Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz de member1.
    Nota

    Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por los miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de MTU.

  4. Crear libretas de direcciones y asociarles zonas.
  5. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
  6. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

Resultados

Desde el modo de configuración, escriba los show security group-vpn member comandos y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configura Miembro2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar miembro2:

  1. Configure la SA de la fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).
  2. Defina la Directiva de ICR y establezca la puerta de enlace remota.
  3. Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz para miembro2.
    Nota

    Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por los miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de MTU.

  4. Cree una libreta de direcciones y adjúntela a la zona de confianza.
  5. Crear otra libreta de direcciones y adjuntarla a la zona de no confianza.
  6. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que bloquee el tráfico desde 10.1.0.0/16.
  7. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que bloquee el tráfico en 10.1.0.0/16.

Resultados

Desde el modo de configuración, escriba los show security group-vpn member comandos y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Comprobando directivas dinámicas para Member1

Finalidad

Vea las políticas dinámicas instaladas en member1.

Acción

Después de que el servidor del grupo descarga claves a member1 show security dynamic-policies , escriba el comando desde el modo operativo.

Significado

La Directiva de multidifusión P3 desde el servidor no está instalada en member1 porque no hay ninguna directiva de ámbito configurada en member1 que permita el tráfico de multidifusión.

Comprobando las políticas dinámicas de Miembro2

Finalidad

Ver las políticas dinámicas instaladas en el miembro 2.

Acción

Una vez que el servidor del grupo descarga las claves en show security dynamic-policies miembro2, escriba el comando en el modo operativo.

Significado

La Directiva P2 (para el tráfico de 10.1.0.0/16 a 10.2.0.0/16) del servidor no está instalada en miembro2, ya que coincide con la Directiva de seguridad deny2 configurada en miembro2.

Ejemplo Configurar VPNv1 de grupo \ comunicación de miembro del servidor para mensajes de regeneración de claves de unidifusión

En este ejemplo se muestra cómo habilitar el servidor para enviar mensajes de regeneración de claves de unidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Aplicables

Antes de empezar:

  • Configure el servidor del grupo y los miembros para ICR negociación de la fase 1.

  • Configure el servidor de grupo y los miembros para SA IPsec de fase 2.

  • Configure el g1 grupo en el servidor de grupo.

Descripción general

En este ejemplo, se especifican los siguientes parámetros de comunicación del miembro de g1servidor para el Grupo:

  • El servidor envía mensajes de regeneración de claves de unidifusión a los miembros del grupo.

  • para cifrar el tráfico entre el servidor y los miembros se utiliza 3DES-CBC.

  • se utiliza SHA1 para la autenticación de miembros.

Los valores predeterminados se utilizan para los latidos del servidor, la duración KEK y las retransmisiones.

Automática

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar la comunicación entre miembros del servidor:

  1. Establezca el tipo de comunicación.
  2. Establezca el algoritmo de cifrado.
  3. Establezca la autenticación del miembro.

Comproba

Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server group g1 server-member-communication comando.

Ejemplo Configuración de VPNv1 de grupo \ comunicación del miembro del servidor para mensajes de regeneración de claves de multidifusión

En este ejemplo se muestra cómo habilitar el servidor para que envíe mensajes de cambio de clave de multidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Aplicables

Antes de empezar:

Descripción general

En este ejemplo, se especifica la siguiente comunicación del miembro de servidor para g1el Grupo:

  • El servidor envía mensajes de regeneración de claves de multidifusión a los miembros del grupo por medio de 226.1.1.1 de direcciones de multidifusión y interface GE-0/0/1.0.

  • para cifrar el tráfico entre el servidor y los miembros se utiliza 3DES-CBC.

  • se utiliza SHA1 para la autenticación de miembros.

Los valores predeterminados se utilizan para los latidos del servidor, la duración KEK y las retransmisiones.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar la comunicación de miembro de servidor para mensajes de cambio de claves de multidifusión:

  1. Establezca el tipo de comunicación.
  2. Establecer el grupo de multidifusión.
  3. Establezca la interfaz para los mensajes de multidifusión salientes.
  4. Establezca el algoritmo de cifrado.
  5. Establezca la autenticación del miembro.

Resultados

Desde el modo de configuración, escriba el show security group-vpn server group g1 server-member-communication comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación de la comunicación de los miembros del servidor para mensajes de regeneración de claves de multidifusión

Finalidad

Compruebe que los parámetros de comunicación del miembro de servidor para el mensaje de regeneración de multidifusión están configurados correctamente para garantizar que las claves válidas estén disponibles para el cifrado de tráfico entre los miembros del grupo.

Acción

En modo operativo, escriba el show security group-vpn server group g1 server-member-communication comando.

Ejemplo Configurar VPNv1 de grupo con coubicación de miembros del servidor

En este ejemplo se muestra cómo configurar un dispositivo para el modo de coubicación, que permite que las funciones de servidor y miembro coexistan en el mismo dispositivo físico. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Aplicables

Antes de empezar:

Descripción general

Cuando se configura el modo de coubicación, las funciones agrupadas de servidor y miembro de grupo pueden coexistir en el mismo dispositivo. En el modo de coubicación, el servidor y el miembro deben tener direcciones IP diferentes para que los paquetes se entreguen correctamente.

En Figura 3, una VPN de grupo (identificador de grupo es 1) consta de dos miembros (member1 y miembro2) y un servidor de grupo (la dirección IP de la interfaz de bucle invertido es 20.0.0.1). Tenga en cuenta que member1 coexiste en el mismo dispositivo que el servidor del grupo. En este ejemplo, se asigna a la interfaz que member1 usa para conectarse a MPLS red (GE-0/1/0) la dirección IP 10.1.0.1/32.

Figura 3: Ejemplo de coubicación de miembros de servidor
 Ejemplo de coubicación de miembros de servidor
Nota

Las instrucciones de configuración de este tema describen cómo configurar el servidor del grupo-dispositivo member1 para el modo coubicación. Para configurar miembro2, vea ejemplo:Example: Configuring Group VPNv1 Server and Membersy los miembros del grupo.

Nota

Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por el miembro del grupo para conectarse al MPLS red esté configurada para un tamaño de MTU no superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de MTU.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar la VPN de grupo con coubicación de miembro de servidor:

  1. Configure la dirección de bucle de retroceso en el dispositivo.
  2. Configure la interfaz que member1 usa para conectarse a la red MPLS.
  3. Configure la coubicación de VPN del grupo en el dispositivo.
  4. Configure ICR SA de Phase 1 para el servidor (esta configuración debe coincidir con la SA Phase 1 configurada en los miembros del grupo).
  5. Defina la Directiva de ICR y establezca las puertas de enlace remotas.
  6. Configure el intercambio de asociaciones de red de la fase 2 para el servidor.
  7. Configure el identificador de grupo, la puerta de enlace de ICR, el tiempo de antireplay y la dirección de servidor en el servidor.
  8. Configure las comunicaciones entre el servidor y el miembro.
  9. Configure las directivas de grupo que se van a descargar en miembros del grupo.
  10. Configure la SA de fase 1 para member1 (esta configuración debe coincidir con la SA Phase 1 configurada para el servidor de grupo).
  11. Defina la Directiva y establezca la puerta de enlace remota para member1.
  12. Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz de member1.
  13. Crear libretas de direcciones y adjuntarlas a las zonas.
  14. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
  15. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

Resultados

Desde el modo de configuración, escriba el show security group-vpn comando y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Nota

En la lista de políticas de seguridad configuradas, asegúrese de que las políticas de ámbito se enumeran antes de las directivas predeterminadas.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobando el registro de miembro de VPN de grupo

Finalidad

Compruebe que los miembros de la VPN del grupo se han registrado correctamente.

Acción

En modo operativo, escriba el show security group-vpn registered-members comando.

Comprobando las asociaciones de seguridad del servidor VPN del grupo para ICR

Finalidad

Compruebe que las SA del servidor VPN de grupo ICR.

Acción

En modo operativo, escriba el show security group-vpn server ike security-associations comando.

Comprobando asociaciones de seguridad de servidor VPN de grupo para IPsec

Finalidad

Compruebe las SA del servidor VPN de grupo para IPsec.

Acción

En modo operativo, escriba el show security group-vpn server ipsec security-associations comando.

Comprobando las asociaciones de seguridad de miembro de VPN de grupo para ICR

Finalidad

Compruebe que el SAs de los miembros de la VPN del grupo ICR.

Acción

En modo operativo, escriba el show security group-vpn member ike security-associations comando.

Comprobando las asociaciones de seguridad de miembro de VPN de grupo para IPsec

Finalidad

Compruebe las SA de los miembros de VPN de grupo para IPsec.

Acción

En modo operativo, escriba el show security group-vpn member ipsec security-associations comando.

Temas relacionados

Release History Table
Publicación
Descripción
A partir de Junos OS versión 12.3 X48-D30, Group VPNv1 Members puede interoperar con servidores VPNv2 Group.
A partir de Junos OS versión 12.3 X48-D30, los miembros del grupo VPNv1 en SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y los dispositivos SRX650 pueden interoperar con servidores VPNv2 de grupo.