Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Agrupar VPNv2

 

Group VPNv2 introduce el concepto de grupo de confianza para eliminar los túneles punto a punto y sus enrutamientos superpuestos asociados. Todos los miembros del grupo comparten una asociación de seguridad común (SA), también conocida como SA de grupo.

Descripción general del grupo VPNv2

Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red privada virtual (VPN) que define las reglas que se utilizarán para los algoritmos de autenticación y cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con muchas implementaciones de VPN, la SA es un túnel punto a punto entre dos dispositivos de seguridad (consulte Figura 1).

Figura 1: SAs de punto a punto
 SAs de punto a punto

Grupo VPNv2 extiende la arquitectura IPsec para admitir las asociaciones de seguridad que comparten un grupo de dispositivos, Figura 2(consulte). Con VPNv2 de grupo, la conectividad de cualquier medio a cualquier se consigue conservando las direcciones IP originales de origen y destino en el encabezado exterior. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.

Figura 2: SA compartidas
 SA compartidas
Nota

Group VPNv2 es una versión mejorada de la característica VPN de grupo introducida en una versión anterior Junos OS para dispositivos serie SRX. Grupo VPNv2 en dispositivos Juniper son compatibles con RFC 6407, El dominio de interpretación del grupo (GDOI)e interoperar con otros dispositivos compatibles con RFC 6407.

Descripción del protocolo GDOI para el grupo VPNv2

El grupo VPNv2 se basa en RFC 6407, Dominio de interpretación del grupo (GDOI). Esta RFC describe el protocolo entre los miembros de grupo y los servidores de grupo para establecer SA entre los miembros del grupo. GDOI los mensajes crean, mantienen o eliminan las SA para un grupo de dispositivos. El grupo VPNv2 se admite en vSRX instancias y en todos los dispositivos serie SRX, salvo SRX5400, SRX5600 y SRX5800.

El protocolo GDOI se ejecuta en el puerto UDP 848. El protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP) define dos fases de negociación para establecer SA para un túnel IPsec ICR. La fase 1 permite que dos dispositivos establezcan una SA ISAKMP para otros protocolos de seguridad, como GDOI.

Con VPNv2 de grupo, fase 1 la negociación de SA ISAKMP se realiza entre un servidor de grupo y un miembro del grupo. El servidor y el miembro deben utilizar la misma directiva ISAKMP. GDOI intercambios entre el servidor y el miembro establece las SA que se comparten con otros miembros del grupo. Un miembro del grupo no necesita negociar el IPsec con otros miembros del grupo. Los intercambios de GDOI deben estar protegidos por las SA de la fase 1 de ISAKMP.

Hay dos tipos de intercambios de GDOI:

  • El groupkey-pull intercambio permite que un miembro solicite SAS y claves compartidas por el grupo desde el servidor. Los miembros del grupo deben registrarse en un servidor de groupkey-pull grupo a través de un intercambio.

  • El groupkey-push intercambio es un mensaje de regeneración de clave único que permite que el servidor envíe las asociaciones de red y de grupo a los miembros antes de que caduquen las SA de grupo existentes. Los mensajes de regeneración de claves son mensajes no solicitados enviados desde el servidor a los miembros.

Descripción de los servidores y miembros del VPNv2 de grupo

Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX. El centro del grupo VPNv2 es el controlador de grupo/servidor de claves (GCKS). Un clúster de servidores se puede utilizar para proporcionar redundancia GCKS.

El servidor de GCKS o grupo realiza las tareas siguientes:

  • Controla la pertenencia a grupos.

  • Genera claves de cifrado.

  • Envía las nuevas SA y claves del grupo a los miembros. Los miembros del grupo cifran el tráfico en función de las SA y las claves del grupo que proporciona el servidor del grupo.

Un servidor de grupo puede atender A varios grupos. Un único dispositivo de seguridad puede ser miembro de varios grupos.

Cada grupo se representa mediante un identificador de grupo, que es un número comprendido entre 1 y 4.294.967.295. El servidor del grupo y los miembros del grupo se vinculan conjuntamente por el identificador de grupo. Solo puede haber un identificador de grupo por grupo, y varios grupos no pueden usar el mismo identificador de grupo.

A continuación se muestra una vista de alto nivel del servidor VPNv2 las acciones de los miembros y los servidores:

  1. El servidor del grupo escucha en el puerto UDP 848 a fin de que los miembros se registren.
  2. Para registrarse con el servidor del grupo, el miembro establece primero una asociación de ICR con el servidor. Un dispositivo miembro debe proporcionar una autenticación correcta de ICR fase 1 con el fin de unirse al grupo. Se admite la autenticación de clave previamente compartida para una base por miembro.
  3. Tras una autenticación y registro exitosos, el dispositivo miembro recupera asociaciones y claves de grupo para el identificador de grupo especificado del servidor con un groupkey-pull intercambio GDOI.
  4. El servidor agrega el miembro a la pertenencia del grupo.
  5. Miembros del grupo intercambiar paquetes cifrados con claves de SA de grupo.

El servidor envía SA y actualizaciones de clave a los miembros del grupo con mensajes de groupkey-pushregeneración de claves (GDOI). El servidor envía mensajes de regeneración de claves antes de que el SAs expire para garantizar que las claves válidas estén disponibles para el cifrado de tráfico entre los miembros del grupo.

Un mensaje de regeneración de claves enviado por el servidor requiere un mensaje de confirmación (ACK) de cada miembro del grupo. Si el servidor no recibe un mensaje ACK del miembro, el mensaje de regeneración de claves se retransmite en el retransmission-period configurados (el valor predeterminado es 10 segundos). Si no hay respuesta del miembro después de la configuración number-of-retransmission (el valor predeterminado es 2 veces), el miembro se quitará de los’miembros registrados del servidor. También se elimina el SA ICR entre el servidor y el miembro.

El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los miembros cuando el grupo de SA ha cambiado.

Descripción de las limitaciones de VPNv2 de grupo

Nota

Los servidores de VPNv2 de grupos solo funcionan con miembros de VPNv2 de grupo que admiten RFC 6407, El dominio de interpretación del grupo (GDOI).

Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX. Los siguientes elementos no se admiten en esta versión del grupo VPNv2:

  • SNMP.

  • Denegar Directiva a través de Cisco obtener servidor VPN.

  • La compatibilidad de PKI con la fase 1 ICR la autenticación.

  • Coubicación del servidor y del miembro del grupo, donde las funciones servidor y miembro coexisten en el mismo dispositivo físico.

  • Agrupar los miembros configurados como clústeres de chasis.

  • Interfaz de J-web para la configuración y supervisión.

  • Tráfico de datos de multidifusión.

El grupo VPNv2 no se admite en implementaciones en las que las direcciones—IP no se pueden conservar, por ejemplo, en Internet donde se usa TDR.

Descripción de la VPNv2 de grupo de servidores: comunicación de miembro

Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX. La comunicación entre los miembros del servidor permite al servidor groupkey-push enviar mensajes GDOI (regenerar claves) a los miembros. Si la comunicación del servidor o miembro no está configurada para el grupo, groupkey-pull los miembros pueden enviar mensajes de GDOI para registrarse y registrarse en el servidor, pero el servidor groupkey-push no podrá enviar mensajes a los miembros.

La comunicación entre el servidor y el miembro se configura para el server-member-communication grupo mediante el uso deedit security group-vpn serverla instrucción de configuración en la jerarquía []. Se pueden definir las siguientes opciones:

  • Algoritmo de autenticación (SHA-256 o Sha-384) que se utiliza para autenticar al miembro en el servidor. No hay ningún algoritmo predeterminado.

  • Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede especificar AES-128-CBC, AES-192-CBC o AES-256-CBC. No hay ningún algoritmo predeterminado.

  • Comunicación de unidifusión tipo de mensajes de regeneración de claves enviados a miembros del grupo.

  • Duración de la clave de cifrado de clave (KEK). El valor predeterminado es 3600 segundos.

  • Número de veces que el servidor de grupo vuelve groupkey-push a transmitir mensajes a un miembro del grupo sin respuesta (el valor predeterminado es 2 veces) y el periodo de tiempo entre retransmisiones (el valor predeterminado es 10 segundos).

Si no se configura la comunicación de miembro de servidor para un grupo, la lista de pertenencia que aparece en el show security group-vpn server registered-members comando muestra los miembros del grupo que se han registrado con el servidor; los miembros pueden estar activos o no. Cuando se configura la comunicación entre miembros del servidor para un grupo, la lista de pertenencia a grupos se borra. Para el tipo de comunicación de unidifusión, el show security group-vpn server registered-members comando muestra únicamente los miembros activos.

Descripción de las operaciones de clave de VPNv2 de grupo

Este tema contiene las siguientes secciones:

Claves de grupo

Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX. El servidor de grupo mantiene una base de datos para hacer un seguimiento de la relación entre grupos VPN, miembros de grupo y claves de grupo. Existen dos tipos de claves de grupo que el servidor descarga a los miembros:

  • Clave de cifrado de clave—(KEK) utilizada para cifrar groupkey-pushlos intercambios de regeneración de claves de SA (GDOI). Se admite un KEK por grupo.

  • Clave de cifrado de tráfico—(Tek) utilizada para cifrar y descifrar el tráfico de datos IPSec entre miembros del grupo.

La clave asociada con una SA solo la acepta un miembro del grupo si hay una directiva coincidente configurada en el miembro. Se ha instalado una clave aceptada para el grupo, mientras que una clave rechazada se descarta.

Mensajes de regenerar claves

Si el grupo está configurado para comunicaciones de miembro de servidor, el servidor envía la SA y las actualizaciones de clave a los miembros del grupo groupkey-pushcon mensajes de regeneración de claves (GDOI). Los mensajes de regeneración de claves se envían antes de que las SA expiren; Esto garantiza que las claves válidas estén disponibles para el cifrado de tráfico entre los miembros del grupo.

El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los miembros cuando se produce un cambio en la pertenencia a un grupo o cuando la SA del grupo ha cambiado (por ejemplo, cuando se agrega o se elimina una directiva de grupo).

Las opciones de comunicación del miembro del servidor deben estar configuradas en el servidor para permitir que el servidor envíe mensajes de regeneración de claves a los miembros del grupo.

El servidor del grupo envía una copia del mensaje de regeneración de claves de unidifusión a cada miembro del grupo. Una vez recibido el mensaje de regeneración de claves, los miembros deben enviar una confirmación (ACK) al servidor. Si el servidor no recibe una confirmación de un miembro (incluida la retransmisión de mensajes de regeneración de claves), el servidor considera que el miembro está inactivo y lo quita de la lista de integrantes. El servidor deja de enviar mensajes de regeneración de claves al miembro.

Las number-of-retransmission instrucciones retransmission-period de configuración para las comunicaciones del miembro de servidor controlan el reenvío de mensajes de cambio de claves del servidor cuando no se recibe ACK de un miembro.

El intervalo en el que el servidor envía mensajes de regeneración de claves se basa en lifetime-seconds el valor de la instrucciónedit security group-vpn server group group-namede configuración en la jerarquía []. Las claves nuevas se generan antes de que expiren las claves KEK y TEK.

El lifetime-seconds para el KEK se configura como parte de las comunicaciones entre miembros del servidor; el valor predeterminado es 3600 segundos. El lifetime-seconds de Tek está configurado para la propuesta de IPSec; el valor predeterminado es 3600 segundos.

Registro de miembro

Si un miembro del grupo no recibe una nueva clave de SA del servidor antes de que caduque la clave actual, el miembro debe volver a registrarse con el servidor y obtener claves actualizadas groupkey-pull con un intercambio GDOI.

Descripción general de la configuración del grupo VPNv2

Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX. Este tema describe las tareas principales para configurar VPNv2 de grupo.

Nota

El controlador de grupo/servidor de claves (GCKS) administra las asociaciones de seguridad (SA) del grupo VPNv2, y genera claves de cifrado y las distribuye a los miembros del grupo. Puede usar un clúster del servidor VPNv2 de grupo para proporcionar redundancia de GCKS. Consulte Understanding Group VPNv2 Server Clusters.

En el servidor o servidores del grupo, configure lo siguiente:

  1. ICR SA de la fase 1. Consulte Understanding IKE Phase 1 Configuration for Group VPNv2 .
  2. SA de IPsec. Consulte Understanding IPsec SA Configuration for Group VPNv2.
  3. Información del grupo VPN, incluido el identificador de grupo, ICR puertas de enlace para miembros del grupo, el número máximo de miembros del grupo y las comunicaciones entre miembros del servidor. La configuración del grupo incluye una directiva de grupo que define el tráfico al que se aplican la SA y las claves. Puede configurar opcionalmente el clúster de servidor y antireplay ventana de tiempo. Consulte Group VPNv2 Configuration Overview y Understanding Group VPNv2 Traffic Steering.

En el miembro del grupo, configure lo siguiente:

  1. ICR SA de la fase 1. Consulte Understanding IKE Phase 1 Configuration for Group VPNv2 .
  2. SA de IPsec. Consulte Understanding IPsec SA Configuration for Group VPNv2.
  3. Directiva IPsec que define la zona entrante (normalmente una LAN protegida), la zona saliente (normalmente una WAN) y el grupo VPN al que se aplica la Directiva. También se pueden especificar las reglas Exclude o Fail-Open. Consulte Understanding Group VPNv2 Traffic Steering.
  4. Directiva de seguridad para permitir el tráfico VPN de grupo entre las zonas especificadas en la directiva IPsec.
Nota

Agrupar VPNv2 operación requiere una topología de enrutamiento de funcionamiento que permita a los dispositivos cliente llegar a sus sitios previstos por toda la red.

El grupo se configura en el servidor con la group instrucción de configuración en laedit security group-vpn serverjerarquía [].

La información del grupo consta de la siguiente información:

  • Identificador—de grupo valor que identifica el grupo VPN. Debe configurarse el mismo identificador de grupo en el miembro del grupo.

  • Cada miembro del grupo se configura con ike-gateway la instrucción de configuración. Puede haber varias instancias de esta instrucción de configuración, una por cada miembro del grupo.

  • Directivas de—grupo de directivas que se van a descargar a los miembros. Las directivas de grupo describen el tráfico al que se aplican la SA y las claves. Consulte Understanding Group VPNv2 Traffic Steering.

  • Umbral—de miembro el número máximo de miembros del grupo. Una vez que se alcanza el umbral de miembros de un grupo, un servidor groupkey-pull deja de responder a las iniciaciones procedentes de nuevos miembros. Consulte Understanding Group VPNv2 Server Clusters.

  • Comunicación—de servidor-miembro configuración opcional que permite al servidor enviar groupkey-push mensajes de regeneración de claves a los miembros.

  • Configuración opcional—de clústeres de servidores compatible con redundancia de controladora o servidor de claves (GCKS) de grupo. Consulte Understanding Group VPNv2 Server Clusters.

  • Antireplay—configuración opcional que detecta la interceptación y la reproducción del paquete. Consulte Understanding Group VPNv2 Antireplay.

Descripción ICR configuración de la fase 1 para el grupo VPNv2

Una asociación de seguridad ICR fase 1 entre un servidor de grupo y un miembro del grupo establece un canal seguro en el que negociar las SA IPsec compartidas por un grupo. Para VPN IPsec estándar en dispositivos de seguridad de Juniper Networks , la configuración de SA de la fase 1 consiste en especificar una propuesta, una directiva y una puerta de enlace de ICR.

En el caso del grupo VPNv2, la configuración de SA ICR Phase 1 es similar a la configuración de VPN estándar de IPSec, peroedit security group-vpn server ikese realiza enedit security group-vpn member ikelas jerarquías [] y []. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.

En la configuración de propuesta de ICR, configure el método de autenticación y los algoritmos de autenticación y cifrado que se utilizarán para abrir un canal seguro entre los participantes. En la configuración de políticas ICR, debe definir el modo en el que se negociará el canal de la fase 1, especificar el tipo de intercambio de claves que se va a usar y hacer referencia a la propuesta de la fase 1. En la configuración de puerta de enlace ICR, se hace referencia a la Directiva de fase 1.

La propuesta de ICR y la configuración de políticas del servidor de grupo deben coincidir con la propuesta de ICR y la configuración de políticas en los miembros del grupo. En un servidor de grupo, se configura una puerta de enlace de ICR para cada miembro del grupo. En un miembro del grupo, se pueden especificar hasta cuatro direcciones de servidor en la configuración de puerta de enlace de ICR.

Descripción de la configuración de SA de IPsec para el grupo VPNv2

Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX. Una vez que el servidor y el miembro han establecido un canal seguro y autenticado en la negociación de la fase 1, establecen las SA de IPsec que comparten los miembros del grupo para proteger los datos que se transmiten entre los miembros. Mientras que la configuración de SA de IPsec para el grupo VPNv2 es similar a la configuración de las VPN estándar, un miembro del grupo no necesita negociar la SA con otros miembros del grupo.

La configuración de IPsec para VPNv2 de grupo consta de la siguiente información:

  • En el servidor de grupo, se configura una propuesta IPsec para el algoritmo de seguridad, autenticación y Protocolo de cifrado que se utilizará para la SA. La propuesta de Asociación de IPsec se configura en el servidor de proposal grupo con la instrucción deedit security group-vpn server ipsecconfiguración en la jerarquía [].

  • En el miembro del grupo, se configura una ICR Autokey que hace referencia al identificador del grupo, el servidor del grupo ( ike-gateway configurado con la instrucción de configuración) y la interfaz utilizada por el usuario para conectar con el grupo de pares. La ICR Autokey se configura en el miembro con la vpn instrucción de configuración en laedit security group-vpn member ipsecjerarquía [].

Descripción de la dirección de tráfico del grupo VPNv2

Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX. El servidor de grupo distribuye asociaciones de seguridad IPsec (SA) y claves a los miembros de un grupo especificado. Todos los miembros que pertenecen al mismo grupo comparten el mismo conjunto de SA de IPsec. La SA instalada en un miembro de un grupo específico lo determina la directiva asociada con el grupo SA y la directiva IPsec configurada en el miembro del grupo.

Directivas de grupo configuradas en servidores de grupo

En un grupo de VPN, cada SA de grupo y la clave que el servidor inserta en un miembro se asocia con una directiva de grupo. La Directiva de grupo describe el tráfico del que debe utilizarse la clave, incluidos el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino. En el servidor, la Directiva de grupo se configura con match-policy policy-name las opciones del niveledit security group-vpn server group name ipsec-sa namede jerarquía [].

Nota

Las directivas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino, Puerto de origen, Puerto de destino y valores de protocolo) no pueden existir para un único grupo. Si intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo, se devuelve un error. Si esto ocurre, debe eliminar una de las políticas de grupo idénticas antes de poder confirmar la configuración.

Directivas IPsec configuradas en miembros del grupo

En el miembro del grupo, una directiva IPsec consta de la siguiente información:

  • Zona entrante (from-zone) para el tráfico de grupos.

  • Zona saliente (to-zone) para el tráfico de grupos.

  • Nombre del grupo al que se aplica la directiva IPsec. Solo se puede hacer referencia a un nombre de VPNv2 de grupo mediante un par de zona/zona específica.

Nota

La interfaz que utiliza el miembro del grupo para conectarse al grupo VPNv2 debe pertenecer a la zona de salida. Esta interfaz se especifica con la group-vpn-external-interface instrucción en el niveledit security group-vpn member ipsec vpn vpn-namede jerarquía [].

En el miembro del grupo, la directiva IPsec se configura en eledit security ipsec-policynivel de jerarquía []. El tráfico que coincide con la directiva IPsec se comprueba en las reglas de exclusión y apertura con errores configuradas para el grupo.

Error de cierre

De forma predeterminada, el tráfico que no coincide con las reglas de exclusión o de apertura o error, o las directivas de grupo recibidas del servidor de grupo, está bloqueada; Esto se conoce como error de cierre.

Reglas de exclusión y apertura de errores

En los miembros del grupo, se pueden configurar los siguientes tipos de reglas para cada grupo:

  • Tráfico que se excluye del cifrado de VPN. Los ejemplos de este tipo de tráfico pueden incluir protocolos de enrutamiento de BGP o OSPF. Para excluir el tráfico de un grupo, set security group-vpn member ipsec vpn vpn-name exclude rule utilice la configuración. Se puede configurar un máximo de 10 reglas de exclusión.

  • El tráfico fundamental para la operación del’cliente y debe enviarse en texto no cifrado (sin codificar) si el miembro del grupo no ha recibido una clave de cifrado de tráfico (Tek) válida para la SA de IPSec. Las reglas de error de apertura permiten este flujo de tráfico mientras se bloquea el resto del tráfico. Activar error de apertura con la set security group-vpn member ipsec vpn vpn-name fail-open rule configuración. Puede configurarse un máximo de 10 reglas de error de apertura.

Prioridades de las políticas y reglas de IPsec

Las reglas y políticas IPsec tienen las siguientes prioridades en el miembro del Grupo:

  1. Excluya las reglas que definen el tráfico que se va a excluir del cifrado de VPN.
  2. Las directivas de grupo que se descargan desde el servidor de grupo.
  3. Reglas de error de apertura que definen el tráfico que se envía en texto no cifrado si no hay ningún TEK válido para la SA.
  4. Directiva de cierre de bloqueo que bloquea el tráfico. Este es el valor predeterminado si el tráfico no coincide con reglas de exclusión o apertura o directivas de grupo.

Descripción del proceso del VPNv2 de la prueba de recuperación del grupo

Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX. Dos situaciones podrían indicar que un miembro del grupo no está sincronizado con el servidor del grupo y con otros miembros del Grupo:

  • El miembro del grupo recibe un paquete ESP (Encapsulating Security Payload) con un índice de parámetros de seguridad (SPI) no reconocido.

  • Hay tráfico IPsec saliente, pero no hay tráfico entrante de IPsec en el miembro del grupo.

Cuando se detecta cualquiera de estas situaciones, se puede desencadenar un proceso de prueba de recuperación en el miembro del grupo. El proceso de la prueba de recuperación groupkey-pull inicia GDOI intercambios en intervalos específicos’para actualizar la SA de miembro del servidor de grupo. Si se produce un ataque DoS de paquetes SPI dañados o si el propio remitente no está sincronizado, la indicación de falta de sincronización en el miembro del grupo puede ser una falsa alarma. Para evitar la sobrecarga del sistema, la groupkey-pull iniciación se vuelve a intentar en intervalos de 10, 20, 40, 80, 160 y 320 segundos.

El proceso de prueba de recuperación está deshabilitado de forma predeterminada. Para activar el proceso de prueba de recuperación recovery-probe , configureedit security group-vpn member ipsec vpn vpn-nameen el nivel de jerarquía [].

Descripción de los VPNv2 de grupo Antireplay

Grupo VPNv2 antireplay es compatible con vSRX instancias y con todos los dispositivos serie SRX, salvo SRX5400, SRX5600 y SRX5800. Antireplay es una característica de IPsec que puede detectar cuándo un paquete es interceptado y lo reproducen los intrusos. Antireplay está deshabilitado de forma predeterminadapara un grupo.

Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la’marca de hora del paquete está anti-replay-time-window dentrodel valor configurado. Un paquete se descarta si la marca de hora supera el valor.

Recomendamos que NTP esté configurado en todos los dispositivos que admiten VPNv2 de grupo antireplay.

Nota

Los miembros del grupo que se ejecutan en vSRX instancias de una máquina host en la que el hipervisor se está ejecutando bajo una carga pesada pueden experimentar problemas que pueden anti-replay-time-window corregirse volviendo a configurar el valor. Si no se van a transferir los datos que coinciden con la directiva IPsec en el miembro show security group-vpn member ipsec statistics del grupo, compruebe el resultado en busca de errores D3P. Asegúrese de que el NTP funciona correctamente. Si hay errores, ajuste el anti-replay-time-window valor.

Ejemplo Configuración de un grupo VPNv2 servidores y miembros

En este ejemplo se muestra cómo configurar un servidor VPNv2 para que proporcione compatibilidad con el controlador/servidor de claves (GCKS) para agrupar VPNv2 miembros del grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.

Aplicables

El ejemplo utiliza los siguientes componentes de hardware y software:

  • Un dispositivo serie SRX compatible o una instancia vSRX que ejecute Junos OS Release 15.1-D30 o posterior que admita el grupo VPNv2. Esta serie SRX dispositivo o instancia de vSRX funciona como un servidor VPNv2 de grupo.

  • Dos dispositivos serie SRX compatibles o instancias vSRX que se ejecuta Junos OS Release 15.1-D30 o posterior que admite el grupo VPNv2. Estos dispositivos o instancias funcionan como miembros del grupo VPNv2 Group.

  • Dos dispositivos compatibles con la serie MX que se ejecutan Junos OS versión 15.1 R2 o posterior que admiten el grupo VPNv2. Estos dispositivos funcionan como miembros del grupo VPNv2.

En cada dispositivo debe configurarse un nombre de host, una contraseña de administrador raíz y un acceso de administración. Recomendamos que NTP también esté configurado en cada dispositivo.

Nota

Agrupar VPNv2 operación requiere una topología de enrutamiento de funcionamiento que permita a los dispositivos cliente llegar a sus sitios previstos por toda la red. Este ejemplo se centra en la configuración del VPNv2 de grupo; no se describe la configuración de enrutamiento.

Descripción general

En este ejemplo, la red del grupo VPNv2 está formada por un servidor y cuatro miembros. Dos de los miembros se serie SRX dispositivos o instancias de vSRX mientras que los otros dos miembros son dispositivos de la serie MX. El grupo compartido VPN SAs protege el tráfico entre miembros del grupo.

Las SA de grupo de VPN deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración VPN de grupo debe incluir la configuración ICR negociaciones de la fase 1 tanto en el servidor de grupo como en los miembros del grupo.

El mismo identificador de grupo debe configurarse tanto en el servidor del grupo como en los miembros del grupo. En este ejemplo, el nombre de grupo es GROUP_ID-0001 y el identificador de grupo es 1. La Directiva de grupo configurada en el servidor especifica que la SA y la clave se aplican al tráfico entre las subredes del intervalo 172.16.0.0/12.

En los miembros de la agrupación SRX o vSRX, se configura una directiva IPsec para el grupo con la zona LAN como la zona de entrada (tráfico entrante) y la zona WAN como la zona a (tráfico saliente). También se necesita una directiva de seguridad para permitir el tráfico entre las zonas LAN y WAN.

Topología

Figura 3muestra los dispositivos Juniper Networks que se configurarán para este ejemplo.

Figura 3: Agrupar VPNv2 servidor con miembros de la serie SRX o vSRX y MX
Agrupar VPNv2 servidor con miembros de la serie SRX o vSRX y MX

Automática

Configuración del servidor del grupo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar el servidor VPNv2 de Grupo:

  1. Configurar interfaces, zonas de seguridad y políticas de seguridad.
  2. Configure las rutas estáticas.
  3. Configure las ICR propuesta, Directiva y puertas de enlace.
  4. Configure la propuesta IPsec.
  5. Configure el grupo.
  6. Configurar las comunicaciones de servidor a miembro.
  7. Configure la Directiva de grupo para que sea descargada a los miembros del grupo.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar el miembro del grupo GM-0001 (serie SRX dispositivo o instancia de vSRX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar el miembro VPNv2 del Grupo:

  1. Configurar interfaces, zonas de seguridad y políticas de seguridad.
  2. Configure las rutas estáticas.
  3. Configure las ICR propuesta, Directiva y puerta de enlace.
  4. Configure la SA de IPsec.
  5. Configure la directiva IPsec.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del miembro del grupo GM-0002 (serie SRX dispositivo o instancia de vSRX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode en la guía del usuario de Guía de usuario de CLI.

Para configurar el miembro VPNv2 del Grupo:

  1. Configurar interfaces, zonas de seguridad y políticas de seguridad.
  2. Configure las rutas estáticas.
  3. Configure las ICR propuesta, Directiva y puerta de enlace.
  4. Configure la SA de IPsec.
  5. Configure la directiva IPsec.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar un miembro del grupo GM-0003 (dispositivo serie MX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

Para configurar el miembro VPNv2 del Grupo:

  1. Configure las interfaces.
  2. Configurar el enrutamiento.
  3. Configure ICR propuesta, política y puerta de enlace.
  4. Configure la SA de IPsec.
  5. Configure el filtro de servicio.
  6. Configure el conjunto de servicios.

Resultados

Desde el modo de configuración show interfaces, especifique los comandos, show routing-options, show securityshow services, y show firewall para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Configuración del miembro del grupo GM-0004 (dispositivo serie MX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

Para configurar el miembro VPNv2 del Grupo:

  1. Configure las interfaces.
  2. Configurar el enrutamiento.
  3. Configure ICR propuesta, política y puerta de enlace.
  4. Configure la SA de IPsec.
  5. Configure el filtro de servicio.
  6. Configure el conjunto de servicios.

Resultados

Desde el modo de configuración show interfaces, especifique los comandos, show routing-options, show securityshow services, y show firewall para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando registro de miembro del grupo

Finalidad

Compruebe que los miembros del grupo están registrados en el servidor.

Acción

Desde el modo operativo, escriba show security group-vpn server registered-members los show security group-vpn server registered-members detail comandos y en el servidor.

user@host> show security group-vpn server registered-members
user@host> show security group-vpn server registered-members detail

Comprobar que las claves de grupo se distribuyen

Finalidad

Compruebe que las claves de grupo se distribuyen entre los miembros.

Acción

Desde el modo operativo, escriba show security group-vpn server statistics el comando en el servidor de grupo.

user@host> show security group-vpn server statistics

Comprobando el grupo de SA de VPN en el servidor de grupo

Finalidad

Compruebe los grupos de SA de VPN en el servidor de grupo.

Acción

Desde el modo operativo, escriba show security group-vpn server kek security-associations los show security group-vpn server kek security-associations detail comandos y en el servidor de grupo.

user@host> show security group-vpn server kek security-associations
user@host> show security group-vpn server kek security-associations detail

Comprobando grupo de SA de VPN en miembros del grupo

Finalidad

Compruebe los grupos de SA de VPN en los miembros del grupo.

Acción

Desde el modo operativo, introduzca show security group-vpn member kek security-associations los show security group-vpn member kek security-associations detail comandos y en los miembros SRX o vSRX del grupo.

user@host> show security group-vpn member kek security-associations
user@host> show security group-vpn member kek security-associations detail

En modo operativo, escriba los show security group-vpn member kek security-associations comandos show security group-vpn member kek security-associations detail y en el miembro del grupo de la serie mx.

user@host> show security group-vpn member kek security-associations
user@host> show security group-vpn member kek security-associations detail

Comprobando las SA de IPsec en el servidor de grupo

Finalidad

Compruebe las SA de IPsec en el servidor de grupo.

Acción

Desde el modo operativo, escriba show security group-vpn server ipsec security-associations los show security group-vpn server ipsec security-associations detail comandos y en el servidor de grupo.

user@host> show security group-vpn server ipsec security-associations
user@host> show security group-vpn server ipsec security-associations detail

Comprobando las SA de IPsec en los miembros del grupo

Finalidad

Compruebe que las SA de IPsec en los miembros del grupo.

Acción

Desde el modo operativo, introduzca show security group-vpn member ipsec security-associations los show security group-vpn member ipsec security-associations detail comandos y en los miembros SRX o vSRX del grupo.

user@host> show security group-vpn member ipsec security-associations
user@host> show security group-vpn member ipsec security-associations detail

En modo operativo, escriba los show security group-vpn member ipsec security-associations comandos show security group-vpn member ipsec security-associations detail y en el miembro del grupo de la serie mx.

user@host> show security group-vpn member ipsec security-associations
user@host> show security group-vpn member ipsec security-associations detail

Verificación de las políticas de grupo (solo miembros de grupos SRX o vSRX)

Finalidad

Compruebe las políticas de grupo en los miembros de la agrupación SRX o vSRX.

Acción

Desde el modo operativo, escriba show security group-vpn member policy el comando en el miembro del grupo.

user@host> show security group-vpn member policy

Ejemplo Configurar VPNv2 de grupo \ comunicación de miembro del servidor para mensajes de regeneración de claves de unidifusión

En este ejemplo se muestra cómo habilitar el servidor para enviar mensajes de regeneración de claves de unidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el tráfico entre los miembros del grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.

Aplicables

Antes de empezar:

  • Configure el servidor del grupo y los miembros para ICR negociación de la fase 1.

  • Configure el servidor de grupo y los miembros para la SA de IPsec.

  • Configure el g1 grupo en el servidor de grupo.

Descripción general

En este ejemplo, se especifican los siguientes parámetros de comunicación del miembro de g1servidor para el Grupo:

  • El servidor envía mensajes de regeneración de claves de unidifusión a los miembros del grupo.

  • para cifrar el tráfico entre el servidor y los miembros se utiliza AES-128-CBC.

  • se utiliza SHA-256 para la autenticación de miembros.

Los valores predeterminados se utilizan para KEK la vigencia y las retransmisiones.

Automática

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Using the CLI Editor in Configuration Mode.

Para configurar la comunicación entre miembros del servidor:

  1. Establezca el tipo de comunicación.
  2. Establezca el algoritmo de cifrado.
  3. Establezca la autenticación del miembro.

Comproba

Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server group g1 server-member-communication comando.