Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec IPv6

Juniper Networks admite IKE manual y de clave automática con configuraciones de claves previamente compartidas para VPN IPsec IPv6.

Compatibilidad de la característica VPN para direcciones IPv6

Un túnel VPN de sitio a sitio basado en rutas con una interfaz de túnel seguro punto a punto puede funcionar en los modos de túnel IPv4 en IPv4, IPv6 en IPv6, IPv6 en IPv4 o IPv4 en IPv6. Las direcciones IPv6 pueden estar en el encabezado IP externo, que representa el extremo del túnel, o en el encabezado IP interno, que representa las direcciones de origen y destino finales de un paquete.

Tabla 1 define la compatibilidad con direcciones IPv6 en las características de VPN.

Tabla 1: Compatibilidad con direcciones IPv6 en las características de VPN

Característica

Compatible

Excepciones

Compatibilidad con IKE e IPsec:

IKEv1 e IKEv2

A menos que se especifique, todas las funciones compatibles son aplicables a IKEv1 e IKEv2.

VPN basada en ruta

VPN basada en políticas

Las VPN basadas en políticas IPv6 no son compatibles con los firewalls serie SRX en las configuraciones de clúster de chasis. Las VPN basadas en políticas de IPv6 solo se admiten con túneles IPv6 en IPv6 en dispositivos independientes SRX300, SRX320, SRX340, SRX345 y SRX550HM.

VPN de sitio a sitio

Solo se admite VPN individual de sitio a sitio. No se admite la VPN de sitio a sitio (NHTB) de varios a uno. La configuración de NHTB no se puede confirmar para modos de túnel que no sean túneles IPv4 en IPv4.

VPN de punto final dinámico

VPN de acceso telefónico

AutoVPN

Las redes AutoVPN que utilizan interfaces de túnel seguro en modo punto a punto admiten direcciones IPv6 para selectores de tráfico y para pares IKE. AutoVPN en modo punto a multipunto no admite tráfico IPv6.

VPN de grupo

No

Interfaces de túnel punto a punto

Interfaces de túnel punto a multipunto

No

Escenario radial para VPN de sitio a sitio

Interfaces de túnel numeradas y no numeradas

Enrutamiento estático y dinámico de unidifusión (RIP, OSPF, BGP)

Enrutamiento dinámico de multidifusión (PIM)

No

Enrutador virtual

Sistema lógico

No

SA automática y manual y gestión de claves

Varias SPU

Clúster de chasis

La VPN IPsec con modo activo-activo solo se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM para túneles IPv6 basados en rutas. La VPN IPsec con modo activo-activo no se admite en dispositivos SRX5400, SRX5600 y SRX5800.

Estadísticas, registros, depuración por túnel

SNMP MIB

Selección de dirección local

Cuando se configuran varias direcciones de la misma familia de direcciones en una interfaz física externa a un par VPN, se recomienda configurar también en el nivel de jerarquía [].local-addressedit security ike gateway gateway-name

Terminación de la dirección de circuito cerrado

Xauth o modecfg sobre IPv6

No

Inserto SPC

ISSU

Nombre DNS como dirección de puerta de enlace IKE

Al igual que con los túneles IPv4, los cambios de dirección de puerta de enlace del mismo nivel en el nombre DNS no se admiten con los túneles IPv6.

Autenticación de certificado o clave previamente compartida

NAT-Traversal (NAT-T) para pares IKE IPv4

NAT-T solo se admite para los modos de túnel IPv6 en IPv4 e IPv4 en IPv4 con IKEv1. No se admiten los modos de túnel IPv6 en IPv6 e IPv4 en IPv6. IKEv2 no es compatible con NAT-T. No se admite NAT-T de IPv6 a IPv4 o de IPv4 a IPv6.

Detección de pares inactivos (DPD) y conmutación por error de puerta de enlace DPD

La conmutación por error de puerta de enlace DPD solo se admite para diferentes direcciones de puerta de enlace dentro de la misma familia. No se admite la conmutación por error de una dirección de puerta de enlace IPv6 a una dirección de puerta de enlace IPv4, o viceversa.

Conjuntos de cifrado, algoritmos de autenticación y grupos DH admitidos en Junos OS versión 12.1X45-D10 para firewalls serie SRX.

Propuestas y políticas genéricas para IPv6 e IPv4

General IKE ID

Modos de transporte ESP y AH

No

Estos modos no son compatibles con IPv4.

Modos de túnel ESP y AH

No se admite el modo de túnel AH con encabezados y opciones de extensión mutables.

Número de secuencia extendido

No

Pares de ID de proxy único

Varios pares de selectores de tráfico

Solo es compatible con IKEv1.

Duración de IKE o SA IPsec, en segundos

Duración de IKE SA, en kilobytes

Monitoreo de VPN

No

No se puede confirmar la configuración con túneles IPv6.

Bit DF

Para los túneles IPv6 en IPv6, el bit DF sólo se establece si se configura en el nivel de jerarquía []. es el valor predeterminado.edit security ipsec vpn vpn-namedf-bit clear

Doble pila (túneles IPv4 e IPv6 paralelos) a través de una sola interfaz física

Para VPN de sitio a sitio basadas en rutas. Un solo túnel IPv4 puede funcionar en los modos de túnel IPv4 en IPv4 e IPv6 en IPv4, y un solo túnel IPv6 puede funcionar en los modos de túnel IPv4 en IPv6 e IPv6 en IPv6.

Encabezados de extensión IPv6

Los encabezados de extensión IPv6 y las opciones IPv4 para paquetes IKE e IPsec se aceptan, pero no se procesan. No se admite AH con opciones y EH mutables.

Fragmentación y reensamblaje

Afinidad de sesión VPN

Tráfico de multidifusión

No

Servicios de IP de túnel (pantalla, NAT, ALG, IPS, AppSecure)

Reordenación de paquetes para fragmentos IPv6 a través de túnel

No

Detección de reenvío bidireccional (BFD) a través de rutas OSPFv3 en interfaz st0

No

Protocolo de descubrimiento de vecinos (NDP) a través de interfaces st0

No

Compatibilidad con PKI:

PKI en enrutador virtual

Autenticación de firma RSA (tamaño de clave de 512, 1024, 2048 o 4096 bits)

Autenticación de firma DSA (tamaño de clave de 1024, 2048 o 4096 bits)

Firmas de ECDSA

Autenticación de cadena de certificados

No

Inscripción automática o manual a través de IPv4

Revocación automática o manual mediante IPv4

Inscripción automática o manual mediante IPv6

No

Revocación automática o manual mediante IPv6

No

Direcciones IPv6 dentro de campos de certificados PKI

No

Descripción del procesamiento de paquetes IPv6 IKE e IPsec

En este tema, se incluyen las siguientes secciones:

Procesamiento de paquetes IKE IPv6

El Intercambio de claves por Internet (IKE) forma parte del conjunto de protocolos IPsec. Permite automáticamente que dos extremos de túnel configuren asociaciones de seguridad (SA) y negocien claves secretas entre sí. No es necesario configurar manualmente los parámetros de seguridad. IKE también proporciona autenticación para la comunicación de pares pares.

El procesamiento de paquetes IKE en redes IPv6 implica los siguientes elementos:

  • Carga de identificación del Protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP)

    La carga de identificación ISAKMP se utiliza para identificar y autenticar a los pares IPv6 que se comunican. Hay dos tipos de ID (ID_IPV6_ADDR y ID_IPV6_ADDR_SUBNET) habilitados para IPv6. El tipo de ID indica el tipo de identificación que se va a utilizar. El tipo ID_IPV6_ADDR especifica una única dirección IPv6 de 16 octetos. Este tipo de ID representa una dirección IPv6. El tipo ID_IPV6_ADDR_SUBNET especifica un rango de direcciones IPv6 representadas por dos valores de 16 octetos. Este tipo de ID representa una máscara de red IPv6. Tabla 2 enumera los tipos de ID y sus valores asignados en la carga de identificación.

    Tabla 2: Tipos de ID ISAKMP y sus valores

    Tipo de identificación

    valor

    RESERVADOS

    0

    ID_IPV4_ADDR

    1

    ID_FQDN

    2

    ID_USER_FQDN

    3

    ID_IPV4_ADDR_SUBNET

    4

    ID_IPV6_ADDR

    5

    ID_IPV6_ADDR_SUBNET

    6

    ID_IPV4_ADDR_RANGE

    7

    ID_IPV6_ADDR_RANGE

    8

    ID_DER_ASN1_DN

    9

    ID_DER_ASN1_GN

    10

    ID_KEY_ID

    11

    ID_LIST

    12

    El tipo ID_IPV6_ADDR_RANGE especifica un rango de direcciones IPv6 representadas por dos valores de 16 octetos. El primer valor del octeto representa la dirección IPv6 inicial y el segundo valor del octeto representa la dirección IPv6 final del intervalo. Todas las direcciones IPv6 que se encuentran entre la primera y la última dirección IPv6 se consideran parte de la lista.

    En esta versión no se admiten dos tipos de ID en la carga de identificación ISAKMP (ID_IPV6_ADDR_RANGE y ID_IPV4_ADDR_RANGE).

  • Proxy ID

    Se utiliza un ID de proxy durante la fase 2 de la negociación de IKE. Se genera antes de que se establezca un túnel IPsec. Un ID de proxy identifica la SA que se utilizará para la VPN. Se generan dos ID de proxy: local y remoto. El ID de proxy local hace referencia a la dirección/red IPv4 o IPv6 local y a la máscara de subred. El ID de proxy remoto hace referencia a la dirección/red IPv4 o IPv6 remota y a la máscara de subred.

  • Asociación de seguridad

    Una SA es un acuerdo entre los participantes de VPN para admitir una comunicación segura. Las SA se diferencian en función de tres parámetros: índice de parámetros de seguridad (SPI), dirección IPv6 de destino y protocolo de seguridad (AH o ESP). El SPI es un valor único asignado a una SA para ayudar a identificar una SA entre varias SA. En un paquete IPv6, la SA se identifica a partir de la dirección de destino en el encabezado IPv6 externo y el protocolo de seguridad se identifica a partir del encabezado AH o ESP.

Procesamiento de paquetes IPsec IPv6

Una vez que se completan las negociaciones de IKE y las dos puertas de enlace IKE han establecido SA de fase 1 y fase 2, IPsec IPv6 emplea tecnologías de autenticación y cifrado para proteger los paquetes IPv6. Dado que las direcciones IPv6 tienen 128 bits en comparación con las direcciones IPv4, que tienen una longitud de 32 bits, el procesamiento de paquetes IPsec IPv6 requiere más recursos.

No se admite el reordenamiento de paquetes para fragmentos IPv6 a través de un túnel.

Los dispositivos con direccionamiento IPv6 no realizan la fragmentación. Los hosts IPv6 deben realizar el descubrimiento de MTU de ruta o enviar paquetes menores que el tamaño mínimo de MTU IPv6 de 1280 bytes.

En este tema, se incluyen las siguientes secciones:

Protocolo AH en IPv6

El protocolo AH proporciona integridad y autenticación de datos para paquetes IPv6. IPv6 IPsec utiliza encabezados de extensión (por ejemplo, opciones de salto a salto y enrutamiento) que deben organizarse de una manera determinada en el datagrama IPv6. En el modo de túnel AH, el encabezado AH sigue inmediatamente al nuevo encabezado IPv6 externo similar al del modo de túnel AH IPv4. Los encabezados de extensión se colocan después del encabezado interno original. Por lo tanto, en el modo de túnel AH, todo el paquete se encapsula agregando un nuevo encabezado IPv6 externo, seguido de un encabezado de autenticación, un encabezado interno, encabezados de extensión y el resto del datagrama original, como se muestra en .Figura 1

Figura 1: Modo de túnel IPv6 AHModo de túnel IPv6 AH

A diferencia de ESP, el algoritmo de autenticación AH cubre el encabezado externo, así como cualquier nuevo encabezado y opción de extensión.

El modo de túnel AH en los firewalls de la serie SRX no admite opciones mutables IPv4 ni encabezados de extensión mutables IPv6. Consulte Tabla 3.

Protocolo ESP en IPv6

El protocolo ESP proporciona cifrado y autenticación para paquetes IPv6. Dado que IPv6 IPsec utiliza encabezados de extensión (por ejemplo, opciones de salto a salto y enrutamiento) en el datagrama IPv6, la diferencia más importante entre el modo de túnel ESP IPv6 y el modo de túnel ESP IPv4 es la ubicación de los encabezados de extensión en el diseño del paquete. En el modo de túnel ESP, el encabezado ESP sigue inmediatamente al nuevo encabezado IPv6 externo similar al del modo de túnel ESP IPv4. Por lo tanto, en el modo de túnel ESP, todo el paquete se encapsula agregando un nuevo encabezado IPv6 externo, seguido de un encabezado ESP, un encabezado interno, encabezados de extensión y el resto del datagrama original, como se muestra en .Figura 2

Figura 2: Modo de túnel ESP IPv6Modo de túnel ESP IPv6

Opciones de IPv4 y encabezados de extensión IPv6 con AH y ESP

Se pueden recibir paquetes IPsec con opciones IPv4 o encabezados de extensión IPv6 para su desencapsulación en firewalls serie SRX. muestra las opciones de IPv4 o los encabezados de extensión IPv6 compatibles con el protocolo ESP o AH en los firewalls de la serie SRX.Tabla 3 Si se recibe un paquete IPsec no compatible, se produce un error en el cálculo de ICV y se descarta el paquete.

Tabla 3: Compatibilidad con opciones de IPv4 o encabezados de extensión IPv6

Opciones o encabezados de extensión

Dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM

Dispositivos SRX5400, SRX5600 y SRX5800

ESP con opciones IPv4

Compatible

Compatible

ESP con encabezados de extensión IPv6

Compatible

Compatible

AH con opciones inmutables IPv4

Compatible

Compatible

AH con encabezados de extensión inmutables IPv6

Compatible

Compatible

AH con opciones mutables IPv4

No compatible

No compatible

AH con encabezados de extensión mutables IPv6

No compatible

No compatible

Cálculo del valor de comprobación de integridad en IPv6

El protocolo AH verifica la integridad del paquete IPv6 calculando un valor de comprobación de integridad (ICV) en el contenido del paquete. ICV generalmente se construye sobre un algoritmo de autenticación como MD5 o SHA-1. Los cálculos de ICV IPv6 difieren de los de IPv4 en términos de dos campos de encabezado: encabezado mutable y encabezado de extensión opcional.

Puede calcular el ICV AH sobre los campos de encabezado IPv6 que son inmutables en tránsito o predecibles en valor al llegar a los extremos del túnel. También puede calcular el ICV AH sobre el encabezado AH y los datos de protocolo de nivel superior (considerados inmutables en tránsito). Puede calcular el ICV ESP en todo el paquete IPv6, excluyendo el nuevo encabezado IPv6 externo y los encabezados de extensión opcionales.

A diferencia de IPv4, IPv6 tiene un método para etiquetar opciones como mutables en tránsito. Los encabezados de extensión opcionales de IPv6 contienen un indicador que indica mutabilidad. Este indicador determina el procesamiento adecuado.

Las opciones mutables IPv4 y los encabezados de extensión IPv6 no son compatibles con el protocolo AH.

Construcción de cabecera en modos de túnel

En el modo de túnel, las direcciones de origen y destino del encabezado IPv4 o IPv6 externo representan los extremos del túnel, mientras que las direcciones de origen y destino del encabezado IPv4 o IPv6 interno representan las direcciones de origen y destino finales. resume cómo se relaciona el encabezado IPv6 externo con el encabezado IPv6 o IPv4 interno para los modos de túnel IPv6 en IPv6 o IPv4 en IPv6.Tabla 4 En los campos de encabezado externo, "Construido" significa que el valor del campo de encabezado externo se construye independientemente del valor en el campo de encabezado interno.

Tabla 4: Construcción de encabezado IPv6 para los modos de túnel IPv6 en IPv6 e IPv4 en IPv6

Campos de encabezado

Cabezal exterior en el encapsulador

Cabezal interior en el desencapsulador

Versión

6.

Sin cambios.

Campo DS

Copiado del encabezado interior.

Sin cambios.

Campo ECN

Copiado del encabezado interior.

Construido.

etiqueta de flujo

0.

Sin cambios.

Longitud de la carga útil

Construido.

Sin cambios.

Siguiente encabezado

AH, ESP y encabezado de enrutamiento.

Sin cambios.

Límite de salto

64.

Decremento.

Dirección SRC

Construido.

Sin cambios.

Dirección Dest

Construido.

Sin cambios.

Encabezados de extensión

Nunca copiado.

Sin cambios.

Tabla 5 resume cómo se relaciona el encabezado IPv4 externo con el encabezado IPv6 o IPv4 interno para los modos de túnel IPv6 en IPv4 o IPv4 en IPv4. En los campos de encabezado externo, "Construido" significa que el valor del campo de encabezado externo se construye independientemente del valor en el campo de encabezado interno.

Tabla 5: Construcción de encabezado IPv4 para los modos de túnel IPv6 en IPv4 e IPv4 en IPv4

Campos de encabezado

Encabezado externo

Encabezado interno

Versión

4.

Sin cambios.

longitud del encabezado

Construido.

Sin cambios.

Campo DS

Copiado del encabezado interior.

Sin cambios.

Campo ECN

Copiado del encabezado interior.

Construido.

longitud total

Construido.

Sin cambios.

ID

Construido.

Sin cambios.

banderas (DF, MF)

Construido.

Sin cambios.

desplazamiento de fragmentos

Construido.

Sin cambios.

TTL

64.

Decremento.

Protocolo

AH, ESP

Sin cambios.

Checksum

Construido.

Construido.

Dirección SRC

Construido.

Sin cambios.

Dirección Dest

Construido.

Sin cambios.

Opciones

Nunca copiado.

Sin cambios.

Para el modo de túnel IPv6 en IPv4, el bit No fragmentar (DF) está desactivado de forma predeterminada. Si las opciones o están configuradas en el nivel de jerarquía [] para la VPN IPv4 correspondiente, el bit DF se establece en el encabezado IPv4 externo.df-bit setdf-bit copyedit security ipsec vpn vpn-name

Para el modo de túnel IPv4 en IPv4, el bit DF del encabezado IPv4 externo se basa en la opción configurada para el encabezado IPv4 interno.df-bit Si no está configurado para el encabezado IPv4 interno, el bit DF se borra en el encabezado IPv4 externo.df-bit

Descripción general de la configuración de IPsec IPv6

Juniper Networks admite IKE manual y de clave automática con configuraciones de claves previamente compartidas para VPN IPsec IPv6.

  • VPN de IKE de clave automática: en una configuración de VPN de IKE de clave automática, las claves secretas y las SA se crean automáticamente mediante el mecanismo IKE de clave automática. Para configurar una VPN IKE de clave automática IPv6, se requieren dos fases de negociaciones: fase 1 y fase 2.

    • Fase 1: en esta fase, los participantes establecen un canal seguro para negociar las SA de IPsec.

    • Fase 2: en esta fase, los participantes negocian las SA de IPsec para autenticar y cifrar los paquetes de datos IPv6.

    Para obtener más información acerca de las negociaciones de fase 1 y fase 2, vea Intercambio de claves por red

Ejemplo: Configuración de una VPN manual de IPsec IPv6

En este ejemplo se muestra cómo configurar una VPN manual IPv6 IPsec.

Requisitos

Antes de empezar:

Descripción general

En una configuración VPN manual, las claves secretas se configuran manualmente en los dos extremos IPsec.

En este ejemplo, usted:

  • Configure los parámetros de autenticación para una VPN denominada vpn-sunnyvale.

  • Configure los parámetros de cifrado para vpn-sunnyvale.

  • Especifique la interfaz de salida para la SA.

  • Especifique la dirección IPv6 del par.

  • Defina el protocolo IPsec. Seleccione el protocolo ESP porque la configuración incluye autenticación y cifrado.

  • Configure un índice de parámetros de seguridad (SPI).

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar algoritmos de seguridad:

  1. Configure los parámetros de autenticación.

  2. Configure los parámetros de cifrado.

  3. Especifique la interfaz de salida para la SA.

  4. Especifique la dirección IPv6 del par.

  5. Defina el protocolo IPsec.

  6. Configure un SPI.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec vpn vpn-sunnyvale. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Comprobación de algoritmos de seguridad

Propósito

Determine si se aplican algoritmos de seguridad o no.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations.

Ejemplo: Configuración de una VPN basada en políticas de IKE de clave automática IPv6

En este ejemplo se muestra cómo configurar una VPN IKE de clave automática IPv6 basada en políticas para permitir que los datos IPv6 se transfieran de forma segura entre la sucursal y la oficina corporativa.

Las VPN basadas en políticas IPv6 solo se admiten en dispositivos independientes SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Dispositivo SRX300

Antes de empezar:

Descripción general

En este ejemplo, se configura una VPN basada en políticas de IKE IPv6 para una sucursal de Chicago, Illinois, ya que no es necesario conservar los recursos del túnel ni configurar muchas directivas de seguridad para filtrar el tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes empresariales en Sunnyvale, California.

Figura 3 muestra un ejemplo de una topología VPN basada en políticas de IKE IPv6. En esta topología, un firewall de la serie SRX se encuentra en Sunnyvale y otro firewall de la serie SRX (puede ser un segundo firewall de la serie SRX o un dispositivo de terceros) se encuentra en Chicago.

Figura 3: Topología VPN basada en políticas de IKE IPv6Topología VPN basada en políticas de IKE IPv6

En este ejemplo, se configuran interfaces, una ruta predeterminada IPv6, zonas de seguridad y libretas de direcciones. A continuación, configure la fase 1 de IKE, la fase 2 de IPsec, una directiva de seguridad y los parámetros TCP-MSS. Consulte a través de .Tabla 6Tabla 10

Tabla 6: Información de interfaz, zona de seguridad y libreta de direcciones

Característica

Nombre

Parámetros de configuración

Interfaces

GE-0/0/14.0

2001:db8:3::1/96

 

ge-0/0/15.0

2001:db8:0:2::1/96

Zonas de seguridad

Tóxido

  • Se permiten todos los servicios del sistema.

  • La interfaz ge-0/0/14.0 está vinculada a esta zona.

 

Untrust

  • ICR es el único servicio de sistema permitido.

  • La interfaz ge-0/0/15.0 está vinculada a esta zona.

Entradas de la libreta de direcciones

Sunnyvale

  • Esta dirección es para la libreta de direcciones de la zona Trust.

  • La dirección de esta entrada de la libreta de direcciones es 2001:db8:3::2/96.

 

Chicago

  • Esta dirección corresponde a la libreta de direcciones de la zona Untrust.

  • La dirección de esta entrada de la libreta de direcciones es 2001:db8:0::2/96.

Tabla 7: Parámetros de configuración de fase 1 de IKE IPv6

Característica

Nombre

Parámetros de configuración

Propuesta

IPv6-IKE-fase1-propuesta

  • Método de autenticación: claves precompartidas

  • Grupo Diffie-Hellman: group2

  • Algorítmo de autenticación: sha1

  • Algorítmo de cifrado: aes-128-cbc

Política

ipv6-ike-phase1-policy

  • Modo: Agresivo

  • Referencia de propuesta: IPv6-IKE-fase1-propuesta

  • Método de autenticación de políticas de fase 1 de IKE: ASCII-texto de clave precompartida

Puerta de enlace

gw-C hicago

  • Referencia de política ICR: ipv6-ike-phase1-policy

  • Interfaz externa: ge-0/0/15.0

  • Dirección de puerta de enlace: 2001:db8:1::1/96

Tabla 8: Parámetros de configuración de fase 2 de IPsec IPv6

Característica

Nombre

Parámetros de configuración

Propuesta

IPv6-IPSEC-fase2-propuesta

  • Protocolo: esp

  • Algorítmo de autenticación: HMAC-SHA1-96

  • Algorítmo de cifrado: AES-128-CBC

Política

ipv6-ipsec-phase2-policy

  • Referencia de propuesta: IPv6-IPSEC-fase2-propuesta

  • PFS: Diffie-Hellman group2

VPN

IPv6-IKE-VPN-Chicago

  • Referencia de puerta de enlace ICR: GW-CHICAGO

  • Referencia de política IPsec: ipv6-ipsec-phase2-policy

Tabla 9: Parámetros de configuración de política de seguridad

Propósito

Nombre

Parámetros de configuración

Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza.

IPv6-VPN-TR-UNTR

  • Criterios de coincidencia:

    • dirección fuente Sunnyvale

    • dirección-destino Chicago

    • application any

  • Acción de permiso: túnel ipsec-vpn ipv6-ike-vpn-chicago

  • Acción de permiso: Política de pares de túnel IPv6-VPN-UNTR-TR

Esta política de seguridad permite el tráfico desde la zona de no confianza a la zona de confianza.

IPv6-VPN-UNTR-TR

  • Criterios de coincidencia:

    • dirección fuente Chicago

    • dirección-destino Sunnyvale

    • application any

  • Acción de permiso: túnel ipsec-vpn ipv6-ike-vpn-chicago

  • Acción de permiso: Política de pares de túnel IPv6-VPN-TR-UNTR

Esta política de seguridad permite todo el tráfico desde la zona de confianza a la zona de no confianza.

Debe poner la política de ipv6-vpn-tr-untr antes de la política de seguridad de permiso-cualquiera. Junos OS realiza una búsqueda de políticas de seguridad comenzando en la parte superior de la lista. Si la política de permiso-cualquiera precede a la política de ipv6-vpn-tr-untr, todo el tráfico de la zona de confianza coincidirá con la política de permiso-cualquier y se permitirá. Por lo tanto, ningún tráfico coincidirá con la política ipv6-vpn-tr-untr.

permiso-cualquiera

  • Criterios de coincidencia:

    • dirección de origen cualquiera

    • origen-destino cualquiera

    • application any

  • Acción: permitir

Tabla 10: Parámetros de configuración TCP-MSS

Propósito

Parámetros de configuración

TCP-MSS se negocia como parte de la negociación de tres vías TCP y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de MTU en una red. Esto es especialmente importante para el tráfico VPN, ya que la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que provoca fragmentación. La fragmentación da como resultado un mayor uso del ancho de banda y de los recursos del dispositivo.

Se recomienda un valor 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo en la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Configuración

Configuración de información básica de red, zona de seguridad y libreta de direcciones

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar información básica de red, zona de seguridad y libreta de direcciones:

  1. Configure la información de interfaz Ethernet.

  2. Configure la información de rutas estáticas.

  3. Configure la zona de seguridad No confiar en él .

  4. Asigne una interfaz a la zona de seguridad No confiar en ella.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad Falta de confianza .

  6. Configure la zona de seguridad de óxido T.

  7. Asigne una interfaz a la zona de seguridad Confianza .

  8. Especifique los servicios del sistema permitidos para la zona de seguridad Confianza.

  9. Cree una libreta de direcciones y adjunte una zona a ella.

  10. Cree otra libreta de direcciones y adjunte una zona a ella.

Resultados

Desde el modo de configuración, ingrese los comandos show interfaces, show routing-options, show security zones y show security address-book para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configurar ICR

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta de fase 1 de IKE.

  2. Defina el método de autenticación de la propuesta de ICR.

  3. Defina el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de la propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Cree una política de fase 1 de IKE.

  7. Establezca el modo de política de fase 1 de IKE.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de políticas de fase 1 de IKE.

  10. Cree una puerta de enlace de fase 1 de IKE y defina su interfaz externa.

  11. Defina la referencia de política de fase 1 de IKE.

  12. Asigne una dirección IP a la puerta de enlace de fase 1 de IKE.

Resultados

Desde el modo de configuración, confírmela con el comando show security ike. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configurar IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Cree la directiva de fase 2 de IPsec.

  6. Especifique la referencia de propuesta de fase 2 de IPsec.

  7. Especifique PFS de fase 2 IPsec para usar el grupo 2 de Diffie-Hellman.

  8. Especifique la puerta de enlace de ICR.

  9. Especifique la directiva de fase 2 de IPsec.

Resultados

Desde el modo de configuración, confírmela con el comando show security ipsec. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar políticas de seguridad:

  1. Cree la política de seguridad para permitir el tráfico desde la zona Confianza a la zona No confianza.

  2. Cree la política de seguridad para permitir el tráfico desde la zona de no confianza a la zona de confianza.

  3. Cree la política de seguridad para permitir el tráfico desde la zona Confianza a la zona No confianza.

  4. Reordene las políticas de seguridad para que la política de seguridad vpn-tr-untr se coloque por encima de la política de seguridad de permiso-cualquiera.

Resultados

Desde el modo de configuración, confírmela con el comando show security policies. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Configurar TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar la información TCP-MSS:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, confírmela con el comando show security flow. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificación del estado de la fase 1 de IKE

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en Sunnyvale a un host en Chicago. Para las VPN basadas en políticas, un host independiente debe generar el tráfico; el tráfico iniciado desde el firewall de la serie SRX no coincidirá con la política de VPN. Se recomienda que el tráfico de prueba se realice desde un dispositivo independiente en un lado de la VPN a un segundo dispositivo en el otro extremo de la VPN. Por ejemplo, inicie ping desde 2001:db8:3::2/96 hasta 2001:db8:0::2/96.

Desde el modo operativo, ingrese el comando show security ike security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail.

Significado

El comando enumera todas las asociaciones de seguridad (SA) de fase 1 de IKE activas.show security ike security-associations Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede utilizar en el comando para obtener más información acerca de la SA.show security ike security-associations index index_number detail

  • Dirección remota: compruebe que la dirección IP remota sea correcta.

  • Estado

    • UP: se estableció la SA de fase 1.

    • DOWN: hubo un problema al establecer la SA de fase 1.

  • Modo: verifica que se esté utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • Parámetros de política de ICR

  • Información de claves precompartidas

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El comando show security ike security-associations index 5 detail enumera información adicional acerca de la asociación de seguridad con el número de índice 5:

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de la función del iniciador y del respondedor

    La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.

  • Cantidad de SA de IPsec creadas

  • Número de negociaciones de la Fase 2 en curso

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el comando show security ipsec security-associations. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail.

Significado

El resultado del comando show security ipsec security-associations muestra la siguiente información:

  • El número de identificación es 2. Utilice este valor con el comando para obtener más información acerca de esta SA en particular.show security ipsec security-associations index

  • Existe un par SA IPsec que usa el puerto 500, lo que indica que no se implementó ningún recorrido TDR. (El recorrido TDR utiliza el puerto 4500 u otro puerto aleatorio de número alto.)

  • El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3597/unlim indica que la duración de la fase 2 expira en 3597 segundos y que no se especificó ningún tamaño de vida útil, lo que indica que la duración es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, aparece U (arriba) o D (abajo).

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado del comando show security ipsec security-associations index 2 detail muestra la siguiente información:

  • Las identidades local y remota constituyen el ID de proxy para la SA.

    Una discrepancia de ID de proxy es una de las razones más comunes de un error de fase 2. Para las VPN basadas en políticas, el ID de proxy se deriva de la política de seguridad. Las direcciones locales y remotas se derivan de las entradas de la libreta de direcciones y el servicio se deriva de la aplicación configurada para la directiva. Si se produce un error en la fase 2 debido a una discrepancia de ID de proxy, puede utilizar la directiva para confirmar qué entradas de la libreta de direcciones están configuradas. Verifique que las direcciones coincidan con la información que se envía. Compruebe el servicio para asegurarse de que los puertos coinciden con la información que se envía.

    Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.