Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IKE y ESP ALG

El intercambio de claves por internet (IKE) y la carga de seguridad de encapsulación (ESP) forman parte del protocolo de seguridad IP (IPsec). El tráfico de IKE y ESP se intercambia entre los clientes y el servidor. IKE y ESP ALG ayudan a resolver los problemas de vpn IPsec cuando la VPN IPsec pasa a través del dispositivo cuyo TDR está habilitado.

Descripción de IKE y ESP ALG

Un firewall serie NFX o serie SRX puede usarse únicamente como dispositivo de traducción de direcciones de red (TDR) cuando se coloca entre clientes VPN en el lado privado de la puerta de enlace TDR y las puertas de enlace de red privada virtual (VPN) en el lado público.

El tráfico de intercambio de claves por internet (IKE) y carga de seguridad de encapsulación (ESP) se intercambia entre los clientes y el servidor. Sin embargo, si los clientes no admiten TDR-Traversal (NAT-T) y si el dispositivo asigna la misma dirección IP generada por TDR a dos o más clientes, el dispositivo no podrá distinguir y enrutar correctamente el tráfico de retorno.

Nota:

Si el usuario desea admitir clientes compatibles con NAT-T y clientes que no son compatibles con NAT-T, entonces se requieren algunas configuraciones adicionales. Si hay clientes compatibles con TDR-T, el usuario debe habilitar la persistencia de dirección TDR de origen.

AlG para IKE y ESP monitorea el tráfico de IKE entre el cliente y el servidor y permite solo un intercambio de mensajes de fase 2 de IKE entre un determinado par de cliente y servidor, no solo un intercambio entre un cliente y un servidor.

Se creó ALG para el tráfico de IKE y ESP y se mejoró la TDR para implementar lo siguiente:

  • Para permitir que los dispositivos pasen tráfico de IKE y ESP con un grupo TDR de origen

  • Para permitir que el dispositivo se configure para devolver la misma dirección IP generada por TDR para la misma dirección IP sin TDR ("TDR persistente de dirección"). Como resultado, el dispositivo es capaz de asociar el tráfico de IKE saliente de un cliente con el tráfico de retorno del servidor, especialmente cuando el tiempo de espera de la sesión de IKE y debe restablecerse.

  • También se permite el tráfico ESP resultante entre el cliente y el servidor, especialmente en la dirección del servidor al cliente.

  • El tráfico ESP devuelto coincide con lo siguiente:

    • La dirección IP del servidor como IP de origen

    • La dirección IP del cliente como IP de destino

Nota:

En los dispositivos SRX1400, SRX1500, SRX3400, SRX3600, SRX5600 o SRX5800, las negociaciones de IKE que implican el recorrido TDR no funcionan si el par IKE está detrás de un dispositivo TDR que cambiará la dirección IP de origen de los paquetes IKE durante la negociación. Por ejemplo, si el dispositivo TDR está configurado con DIP, cambia la IP de origen porque el protocolo IKE cambia el puerto UDP de 500 a 4500. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)

Descripción de la operación de IKE y ESP ALG

La puerta de enlace de capa de aplicación (ALG) para el intercambio de claves por internet (IKE) y el tráfico de carga de seguridad de encapsulación (ESP) tiene el siguiente comportamiento:

  • IKE y ESP ALG monitorean el tráfico de IKE entre el cliente y el servidor, y permiten solo un intercambio de mensajes de fase 2 de IKE entre el cliente y el servidor en un momento dado.

  • Para un mensaje de fase 2:

    • Si no se produce un intercambio de mensajes de fase 2 entre el cliente y el servidor, se abren las puertas ALG de IKE para el tráfico ESP relevante del cliente al servidor y del servidor al cliente.

    • Si las puertas ALG de IKE no se abren correctamente o si ya se produjo el intercambio de mensajes de fase 2, se pierde el mensaje de fase 2.

  • Cuando el tráfico ESP llega a las puertas ALG de IKE, se crean sesiones para capturar el tráfico de ESP subsiguiente y realizar la NATing adecuada (es decir, la traducción de la dirección IP de origen del cliente al tráfico del servidor y la traducción de la dirección IP de destino del servidor al tráfico del cliente).

  • Cuando el tráfico ESP no llega a ninguna de las puertas o a ambas, estas, naturalmente, tienen un tiempo de descanso.

  • Una vez que las puertas ALG de IKE se contraen o se contraen el tiempo de espera, se permite otro intercambio de mensajes de fase 2 de IKE.

  • El tráfico T-T de IKE en el puerto flotante 4500 no se procesa en una ALG IKE. Para admitir una combinación de clientes compatibles con TDR y clientes no capaces, debe habilitar la dirección TDR de origen persistente.

Ejemplo: Configuración de IKE y ESP ALG

En este ejemplo, se muestra cómo configurar IKE y ESP ALG para pasar a través del tráfico de IKE y ESP con un grupo TDR de origen en dispositivos de Juniper Networks.

Requisitos

Antes de empezar:

Visión general

En este ejemplo, ALG para IKE y ESP está configurado para supervisar y permitir el intercambio de tráfico de IKE y ESP entre los clientes y el servidor ubicado en lados opuestos de un dispositivo Juniper Networks.

En este ejemplo, se muestra cómo configurar un conjunto TDR de origen y un conjunto de reglas, configurar una aplicación personalizada para que admita IKE y ESP ALG, y asociar esta ALG a una política.

Si desea admitir una combinación de clientes compatibles con TDR-traversal (TDR-T) y clientes no capaces, debe habilitar la traducción TDR de origen persistente (de modo que una vez que un TDR de origen determinado se asocia con una dirección IP determinada, las traducciones TDR de origen posteriores usen la misma dirección IP). También debe configurar una aplicación transversal TDR personalizada de IKE para admitir la encapsulación de IKE y ESP en el puerto UDP 4500. Esta configuración permite que IKE y ESP pasen por el dispositivo habilitado para TDR.

Topología

Configuración

Configurar un conjunto de reglas y un grupo de fuentes TDR

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un grupo TDR de origen:

  1. Cree un grupo de fuentes TDR.

  2. Configure entradas de libreta de direcciones de zonas de seguridad.

  3. Cree un conjunto de reglas de origen TDR.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configurar una aplicación personalizada y asociarla a una política

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una aplicación personalizada y asociarla a una política:

  1. Configure una aplicación personalizada.

  2. Asocie la aplicación personalizada a una política.

Resultados

Desde el modo de configuración, ingrese los comandos y show security zones para confirmar la show applications configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de la compatibilidad de IKE y ESP ALG para clientes compatibles y no compatibles con T-T

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la compatibilidad con ALG IKE y ESP para clientes compatibles y no compatibles con T-T:

  1. Habilite globalmente la traducción TDR de origen persistente.

  2. Configure la aplicación TDR-T de ICR.

  3. Asocie la aplicación TDR-T mediante una política.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar aplicaciones personalizadas de IKE y ESP ALG

Propósito

Verifique que las aplicaciones personalizadas para admitir IKE y ESP ALG estén habilitadas.

Acción

Desde el modo operativo, ingrese el show security alg status comando.

Significado

El resultado muestra el estado de ALG de la siguiente manera:

  • Habilitado: muestra que ALG está habilitado.

  • Deshabilitado(Deshabilitado): muestra que la ALG está deshabilitada.

Verificar las policías de seguridad de ALG

Propósito

Compruebe que la aplicación IKE ALG personalizada y la aplicación IKE NATT personalizados están configurados.

Acción

Desde el modo operativo, ingrese el show security policies comando.

Significado

La salida de ejemplo muestra que se establecen aplicaciones IKE ALG e NATT IKE personalizadas.

Ejemplo: Habilitación de los tiempos de espera de IKE y ESP y configuración de los tiempos de espera

En este ejemplo, se muestra cómo habilitar IKE y ESP ALG y establecer los valores de tiempo de espera para permitir que la ALG procese la información de estado de ALG, puertas ESP y sesiones ESP.

Requisitos

Comprenda los conceptos detrás de ALG para IKE y ESP. Consulte Descripción de la operación de ICR y ESP ALG.

Visión general

IKE y ESP ALG procesa todo el tráfico especificado en cualquier política a la que se adjunta al ALG. En este ejemplo, configure la set security alg ike-esp-nat enable instrucción para que el comportamiento de paso a través de IPsec predeterminado actual esté deshabilitado para todo el tráfico de paso a través de IPsec, independientemente de la política.

A continuación, establezca los valores de tiempo de espera para que IKE y ESP ALG procesen la información de estado de ALG, las puertas de ESP y las sesiones de ESP. En este ejemplo, se establece el tiempo de espera de la información de estado ALG. El intervalo de tiempo de espera es de 180 a 86400 segundos. El tiempo de espera predeterminado es de 14400 segundos. A continuación, establezca el tiempo de espera de las puertas ESP creadas después de completar un intercambio de fase 2 de IKE. El intervalo de tiempo de espera es de 2 a 30 segundos. El tiempo de espera predeterminado es de 5 segundos. Por último, se establece el tiempo de espera de las sesiones ESP creadas a partir de las puertas IPsec. Si no hay tráfico que llega a la sesión, este queda envejecido después de este período de tiempo. El intervalo de tiempo de espera es de 60 a 2400 segundos. El tiempo de espera predeterminado es de 1800 segundos.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para habilitar IKE y ESP ALG y establecer los valores de tiempo de espera:

  1. Habilite IKE y ESP ALG.

  2. Establezca el tiempo de espera para la información de estado alg.

  3. Establezca el tiempo de espera para las puertas ESP creadas después de completar un intercambio de fase 2 de ICR.

  4. Establezca el tiempo de espera inactivo para las sesiones ESP creadas a partir de las puertas IPsec.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security alg configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la configuración de ALG para IKE y ESP y tiempo de espera

Propósito

Compruebe que el ALG para IKE y ESP está habilitado y que la configuración de tiempo de espera de esta función sea correcta.

Acción

Desde el modo operativo, ingrese el show security alg ike-esp-nat comando.