Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Ejemplo: configurar VPN IPSec en alta disponibilidad de múltiples nodos activo-activo en una red de capa 3

En este ejemplo, se muestra cómo configurar y comprobar VPN IPsec para la configuración de alta disponibilidad multinodo activa-activa.

Descripción general

En alta disponibilidad de múltiples nodos, los firewalls participantes de la serie SRX funcionan como nodos independientes en una red de capa 3. Los nodos están conectados a infraestructuras adyacentes pertenecientes a diferentes redes. Un vínculo de interchasis lógico (ICL) cifrado conecta los nodos a través de una red enrutada. Los nodos participantes se respaldan entre sí para garantizar una tolerancia a fallos rápida y sincronizada en caso de falla del sistema o del hardware.

Puede operar la alta disponibilidad de múltiples nodos en modo activo-activo con soporte de múltiples grupos de redundancia de servicios (SRG). En este modo, algunos SRG permanecen activos en un nodo y otros permanecen activos en otro nodo.

La alta disponibilidad de múltiples nodos admite VPN IPsec en modo activo-activo con varios SRG (SRG1+). En este modo, puede establecer varios túneles activos desde ambos nodos, según la actividad de SRG. La alta disponibilidad multinodo establece un túnel IPsec y realiza intercambios de claves mediante la asociación de la dirección IP de terminación (que también identifica los túneles que terminan en ella) al SRG. Dado que diferentes SRG1+ pueden estar en estado activo o en estado de respaldo en cada uno de los dispositivos, la alta disponibilidad multinodo dirige el tráfico correspondiente de manera efectiva al SRG1 activo correspondiente. Dado que diferentes SRG pueden estar activos en diferentes nodos, los túneles que pertenecen a estos SRG surgen en ambos nodos de forma independiente.

Nota:

Admitimos una configuración de dos nodos en la solución de alta disponibilidad multinodo.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls de la serie SRX (los dispositivos compatibles son SRX5400, SRX5600 y SRX5800 con SPC3, IOC3, SCB3, SCB4 y RE3)

  • Junos OS versión 22.4R1

En este ejemplo, usamos dos plataformas de enrutamiento de la serie MX de Juniper Networks como enrutadores ascendentes y descendentes.

Antes de empezar

  • Configure el filtrado de firewall sin estado y la calidad del servicio (QoS) según sus requisitos de red y tenga políticas de seguridad adecuadas para administrar el tráfico en su red.

  • En una implementación típica de alta disponibilidad, tiene múltiples enrutadores y conmutadores en los lados norte y sur de la red. Para este ejemplo, estamos usando dos enrutadores en ambos lados de firewalls de la serie SRX. Asegúrese de haber configurado los enrutadores ascendentes y descendentes según los requisitos de su red.

  • Instale el paquete IKE de Junos en sus firewalls de la serie SRX mediante el request system software add optional://junos-ike.tgz comando. El junos-ike paquete se incluye en los paquetes de software de Junos (versión 20.4R1 de Junos OS en adelante).

Topología

En la figura 1 , se muestra la topología utilizada en este ejemplo.

Figura 1: Alta disponibilidad de múltiples nodos en la red Network topology diagram showing connectivity of SRX-01, SRX-02, and SRX-03 devices with R1 and R2 routers across Untrust, Trust, VPN, and ICL zones. IP addresses and interfaces are labeled for security-focused network documentation. de capa 3

Como se muestra en la topología, dos firewalls de la serie SRX (SRX-1 y SRX-2) están conectados a enrutadores adyacentes en el lado de confianza y no confianza formando una vecindad BGP. Un vínculo de interchasis lógico (ICL) cifrado conecta los nodos a través de una red enrutada. Los nodos se comunican entre sí mediante una dirección IP (dirección IP flotante) enrutable a través de la red.

El dispositivo SRX-03 actúa como un dispositivo par para la configuración de alta disponibilidad multinodo y establece túneles VPN IPsec con los dispositivos SRX-01 y SRX-02.

Realizará las siguientes tareas para crear una configuración de alta disponibilidad multinodo:

  • Configure un par de firewalls de la serie SRX como nodos locales y pares mediante la asignación de ID.
  • Configure los grupos de redundancia de servicios (SRG1 y SRG2).
  • Configure una interfaz de circuito cerrado (lo0.0) para alojar la dirección IP flotante y comunicarse con la puerta de enlace par. El uso de la interfaz de circuito cerrado garantiza que, en cualquier punto dado, el tráfico de los enrutadores adyacentes se dirigirá hacia la dirección IP flotante (es decir, hacia el nodo activo).
  • Configure los sondeos IP para la determinación de la actividad y el cumplimiento
  • Configure una ruta de señal necesaria para el cumplimiento de la actividad y utilícela junto con la política de que la ruta existe.
  • Configure un perfil VPN para el tráfico de alta disponibilidad (ICL) mediante IKEv2.
  • Configurar las opciones de supervisión de BFD
  • Configurar una política de enrutamiento y opciones de enrutamiento
  • Configure interfaces y zonas según sus requisitos de red. Debe permitir servicios como IKE para el cifrado de vínculos y SSH para la sincronización de configuraciones como servicios del sistema de entrada de host en la zona de seguridad asociada con la ICL.

  • Cree una configuración de grupo para VPN IPsec en dispositivos SRX-01 y SRX-02 para configurar un túnel con el dispositivo par VPN (SRX-03). Los grupos de configuración permiten aplicar elementos comunes que se reutilizan dentro de la misma configuración.

  • Configure las opciones de VPN IPsec para establecer túneles con el dispositivo SRX-03 y habilite la sincronización de la configuración de VPN IPsec en ambos dispositivos (SRX-01 y SRX-02) mediante la opción [groups].
  • Configure el dispositivo par VPN con las opciones VPN VPN VPN.

Para el vínculo de interchasis (ICL), recomendamos la siguiente configuración:

  • En general, puede usar Ethernet agregada (AE) o un puerto Ethernet de ingresos en los firewalls de la serie SRX para configurar una conexión ICL. En este ejemplo, hemos usado puertos GE para la ICL. También configuramos una instancia de enrutamiento para la ruta ICL a fin de garantizar la máxima segmentación.

  • No use los puertos de alta disponibilidad dedicados (puertos de control y estructura) si están disponibles en el firewall de la serie SRX).
  • Conjunto UMT de 1514
  • Permita los siguientes servicios en la zona de seguridad asociada con las interfaces usadas para ICL

    • IKE, alta disponibilidad, SSH

    • Protocolos según el protocolo de enrutamiento que necesite.

    • BFD para monitorear las rutas vecinas.

Puede configurar las siguientes opciones en SRG0 y SRG1+:

Puede configurar las siguientes opciones en SRG0 y SRG1:

  • SRG1: Ruta de señal activa/de respaldo, tipo de despliegue, prioridad de actividad, preferencia, dirección IP virtual (para despliegues de puerta de enlace predeterminados), sondeo de actividad y paquete de proceso en respaldo.

  • SRG1: Opciones de supervisión de BFD, supervisión de IP y supervisión de interfaces en SRG1.

  • SRG0: opciones de ruta de apagado en caso de error e instalación en caso de error.

    Cuando configure las opciones de supervisión (BFD o IP o interfaz) en SRG1, se recomienda no configurar la opción de apagado en caso de error en SRG0.

  • SRG1: Ruta de señal activa/de respaldo, tipo de despliegue, prioridad de actividad, preferencia, dirección IP virtual (para despliegues de puerta de enlace predeterminados), sondeo de actividad y paquete de proceso en respaldo.

  • SRG1: Opciones de supervisión de BFD, supervisión de IP y supervisión de interfaces en SRG1.

  • SRG0: opciones de ruta de apagado en caso de error e instalación en caso de error.

    Cuando configure las opciones de supervisión (BFD o IP o interfaz) en SRG1, se recomienda no configurar la opción de apagado en caso de error en SRG0.

En la tabla 1 se muestran los detalles de la configuración de interfaces que se utilizan en este ejemplo.

Zona de
Tabla 1: Configuración de interfaces y direcciones IP en dispositivos de seguridad
interfaz del dispositivo Dirección IP configurada para
SRX-01 lo0

No confiar

10.11.0.1/32

Dirección IP flotante

Dirección de puerta de enlace IKE

10.12.0.1/32

Dirección de puerta de enlace IKE

GE-0/0/2

ICL

10.22.0.2/24

Conexión de ICL

GE-0/0/4

Confianza

10.5.0.1/24

Se conecta al enrutador R2

GE-0/0/3

No confiar

10.3.0.2/24

Se conecta al enrutador R1
SRX-02

lo0

No confiar

10.12.0.1/32

Dirección IP flotante

Dirección de puerta de enlace IKE

10.11.0.1/32

Dirección de puerta de enlace IKE

GE-0/0/2

ICL

10.22.0.1/24

Conexión de ICL

GE-0/0/3

No confiar

10.2.0.2/24

Se conecta al enrutador R1

GE-0/0/4

Confianza

10.4.0.1/24

Se conecta al enrutador R2
SRX-03 lo0

No confiar

10.112.0.1/32

Dirección de puerta de enlace IKE

10.112.0.5/32

Dirección de puerta de enlace IKE

GE-0/0/0

No confiar

10.7.0.1/24

Se conecta al enrutador R2

GE-0/0/2

Confianza

10.6.0.2/24

Se conecta al dispositivo del cliente
del
Tabla 2: Configuración de interfaces y direcciones IP en dispositivos de enrutamiento
Dirección IP de la interfazdispositivo configurada para
R2 lo0

10.111.0.2/32

Dirección de interfaz de circuito cerrado de R2

GE-0/0/1

10.4.0.2/24

Se conecta a SRX-02

GE-0/0/0

10.5.0.2/24

Se conecta a SRX-01

GE-0/0/2

10.7.0.2/24

Se conecta a SRX-03 (dispositivo par VPN)
R1 lo0

10.111.0.1/32

Dirección de interfaz de circuito cerrado de R1

GE-0/0/0

10.3.0.1/24

Se conecta a SRX-01

GE-0/0/1

10.2.0.1/24

Se conecta a SRX-02

Configuración

Antes de empezar

Se requiere el paquete IKE de Junos en sus firewalls de la serie SRX para la configuración de alta disponibilidad de múltiples nodos. Este paquete está disponible como un paquete predeterminado o como un paquete opcional en los firewalls de la serie SRX. Consulte Soporte para el paquete IKE de Junos para obtener más detalles.

Si el paquete no está instalado de forma predeterminada en el firewall de la serie SRX, utilice el siguiente comando para instalarlo. Necesita este paso para el cifrado ICL.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Estas configuraciones se capturan en un entorno de laboratorio y se proporcionan únicamente como referencia. Las configuraciones reales pueden variar en función de los requisitos específicos de su entorno.

Dispositivo SRX-01

Dispositivo SRX-02

Dispositivo SRX-3

En las siguientes secciones, se muestran los fragmentos de configuración en los enrutadores necesarios para configurar la configuración de alta disponibilidad multinodo en la red.

Enrutador R1

Enrutador R2

Configuración

Procedimiento paso a paso

Mostramos la configuración de SRX-01 en el procedimiento paso a paso.

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

  1. Configure Interfaces.

    Utilice las interfaces ge-0/0/3 y ge-0/0/4 para conectarse a los enrutadores ascendentes y descendentes, y utilice la interfaz ge-0/0/2 para configurar la ICL.

  2. Configure las interfaces circuito cerrado.

    Asigne las direcciones IP 10.11.0.1 y 10.12.0.1 a la interfaz de circuito cerrado. Usaremos 10.11.0.1 como dirección IP flotante y 10.12.0.1 como dirección de puerta de enlace IKE.

  3. Configure zonas de seguridad, asigne interfaces a las zonas y especifique los servicios del sistema permitidos para las zonas de seguridad.

    Asigne a las interfaces ge-0/0/3 y ge-0/0/4 las zonas de confianza y no confianza respectivamente. Asigne la interfaz lo0.0 a la zona de no confianza para conectarse a través de la red IP. Asigne la interfaz ge-0/0/2 a la zona ICL. Esta zona se usa para configurar la ICL. Asigne la interfaz de túnel seguro a la zona de seguridad VPN.

  4. Configure los detalles del nodo local y del nodo par, como el ID del nodo, las direcciones lP del nodo local y del nodo par, y la interfaz para el nodo par.

    Usará la interfaz ge-0/0/2 para comunicarse con el nodo par mediante la ICL.

  5. Adjunte el perfil VPN IPsec IPSEC_VPN_ICL al nodo par.

    Necesitará esta configuración para establecer un vínculo ICL seguro entre los nodos.

  6. Configure las opciones de protocolo de detección de reenvío bidireccional (BFD) para el nodo par.

  7. Configure los grupos de redundancia de servicios SRG1 y SRG2.

    En este paso, está especificando el tipo de despliegue como enrutamiento porque está configurando alta disponibilidad multinodo en una red de capa 3.

  8. Configuración de los parámetros de determinación de la actividad SRG1 y SRG2.

    SRG1

    SRG2

    Utilice la dirección IP flotante como dirección IP de origen (10.11.0.1 para SRG1 y 10.12.0.1 para SRG2) y las direcciones IP de los enrutadores ascendentes como dirección IP de destino (10.111.0.1) para la sonda de determinación de actividad.

    Puede configurar hasta 64 direcciones IP para el monitoreo de IP y el sondeo de actividad. El total de 64 direcciones IP es la suma del número de direcciones IPv4 e IPv6)

  9. Configure los parámetros de supervisión de BFD para SRG1 y SRG2 a fin de detectar errores en la red.

    SRG1

    SRG2

  10. Configure una ruta de señal activa necesaria para el cumplimiento de la actividad.

    SRG1

    SRG2

    Nota: Debe especificar la ruta de señal activa junto con la política route-exists en la instrucción policy-options. Cuando configure la active-signal-route condición with if-route-exists, el módulo de alta disponibilidad agrega esta ruta a la tabla de enrutamiento.

  11. Cree una lista de prefijos IP incluyendo la dirección local de la puerta de enlace de IKE y asocie la lista de prefijos IP a SRG1 y SRG2:

    SRG1

    SRG2

    Esta configuración ancla un determinado túnel VPN IPsec a un dispositivo de seguridad determinado.

  12. Habilite el servicio VPN IPsec en SRG1 y SRG2.

  13. Configure las opciones de VPN de VPN IPSec para la ICL.

    1. Defina la configuración del intercambio de claves por red (IKE). Una configuración de IKE define los algoritmos y las claves que se usan para establecer una conexión segura.

      Para la función de alta disponibilidad multinodo, debe configurar la versión de IKE como v2-only

    2. Especifique el protocolo de propuesta de IPsec y el algoritmo de cifrado. Especifique las opciones de IPsec para crear un túnel IPsec entre dos dispositivos participantes para proteger la comunicación VPN.

      Al especificar la opción, ha-link-encryption se cifra la ICL para garantizar un flujo de tráfico de alta disponibilidad entre los nodos.

      Se debe mencionar el mismo nombre de VPN ICL_IPSEC_VPN vpn_profile en la set chassis high-availability peer-id <id> vpn-profile vpn_profile configuración.

  14. Configure la política de seguridad.

    En este ejemplo, hemos configurado una política para permitir todo el tráfico. Le recomendamos encarecidamente que cree políticas de seguridad según los requisitos de su red para permitir el tráfico permitido por la política de su organización y denegar el resto del tráfico. Hemos usado la directiva predeterminada para el propósito de demostración solo en este ejemplo.

  15. Configure las opciones de enrutamiento.

  16. Configure las opciones de directiva.

    Configure la ruta de señal activa 10.39.1.1 (SRG1) y 10.49.1.1 (SRG2) con la condición de coincidencia de ruta (if-route-exists). La alta disponibilidad multinodo agrega esta ruta a la tabla de enrutamiento cuando el nodo se mueve al rol activo. El nodo también comienza a anunciar la ruta de preferencia más alta. Configure la ruta de señal de respaldo (10.39.1.2 y 10.49.1.2) para anunciar el nodo de respaldo con una prioridad media. En caso de que se produzca algún error, el vínculo de alta disponibilidad deja de funcionar y el nodo activo actual libera su función principal y elimina la ruta de señal activa. Ahora, el nodo de respaldo detecta la condición a través de sus sondeos y pasa a la función activa. La preferencia de ruta se intercambia para dirigir todo el tráfico al nuevo nodo activo

  17. Configure las opciones de sesiones de emparejamiento de BFD y especifique los temporizadores de detección de vida.

Configuración de VPN IPsec (SRX-1 y SRX-2)

Siga estos pasos para configurar la conexión VPN IPsec con el firewall par de la serie SRX. En este ejemplo, colocará todas las instrucciones de configuración de VPN IPsec dentro de un grupo de configuración de JUNOS denominado vpn_config.

  1. Cree un grupo vpn_config de configuración en la parte superior de la configuración y configure los detalles específicos de VPN IPsec.

  2. Incluya la instrucción apply-groups en la configuración para heredar las instrucciones del grupo de configuración vpn_config,

Configuración (SRX-03) (dispositivo par VPN)

Procedimiento paso a paso

  1. Cree la propuesta de ICR.

  2. Defina las políticas de ICR.

  3. Cree una puerta de enlace ICR, defina la dirección, especifique las interfaces externas y la versión.

  4. Cree propuestas IPsec.

  5. Cree políticas IPsec.

  6. Especifique las referencias de propuesta de IPsec (puerta de enlace de IKE, política de IPsec, interfaz para enlazar y selectores de tráfico).

  7. Cree una política de seguridad.

    En este ejemplo, hemos configurado una política para permitir todo el tráfico. Le recomendamos encarecidamente que cree políticas de seguridad según los requisitos de su red para permitir el tráfico permitido por la política de su organización y denegar el resto del tráfico. Hemos usado la directiva predeterminada para el propósito de demostración solo en este ejemplo.

  8. Configure las interfaces.

  9. Defina zonas de seguridad y agregue interfaces.

  10. Configure las rutas estáticas.

Resultados (SRX-01)

Desde el modo de configuración, ingrese los siguientes comandos para confirmar la configuración.

Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Resultados (SRX-02)

Desde el modo de configuración, ingrese los siguientes comandos para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

En sus dispositivos de seguridad, recibirá el siguiente mensaje que le pedirá que reinicie el dispositivo:

Resultados (SRX-3) (dispositivo par VPN)

Desde el modo de configuración, ingrese los siguientes comandos para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Compruebe los detalles de alta disponibilidad de multinodo

Propósito

Vea y verifique los detalles de la configuración de alta disponibilidad multinodo configurada en su dispositivo de seguridad.

Acción

Desde el modo operativo, ejecute el siguiente comando:

En SRX-1

En SRX-2

Significado

Compruebe estos detalles en el resultado del comando:

  • Detalles del nodo local y del nodo par, como la dirección IP y el ID.

  • El campo Encrypted: YES indica que el tráfico está protegido.

  • El campo Deployment Type: ROUTING indica una configuración de modo de capa 3, es decir, la red tiene enrutadores en ambos lados.

  • El campo Services Redundancy Group: 1 e Services Redundancy Group: 2 indicar el estado de SRG1 y SRG2 (activo o de respaldo) en ese nodo.

Compruebe los detalles de alta disponibilidad de multinodo

Propósito

Vea y verifique los detalles de la configuración de alta disponibilidad multinodo configurada en su dispositivo de seguridad.

Acción

Desde el modo operativo, ejecute el siguiente comando:

En SRX-01

Significado

Compruebe estos detalles en el resultado del comando:

  • El campo Services: [ IPSEC ] indica la VPN IPSec asociada para cada SRG.

  • Los campos BFD Monitoring, Interface Monitoring, Split-brain Prevention Probe Info muestran detalles de monitoreo.

  • Los campos Cold Synchronization, SRG State Change Events proporcionan detalles sobre el estado actual y los cambios recientes.

  • El campo Services Redundancy Group: 1 e Services Redundancy Group: 2 indicar el estado de SRG1 y SRG2 (activo o de respaldo) en ese nodo.

En la salida del comando, las direcciones IP como IP 180.100.1.2 se generan internamente mediante Junos OS y estas direcciones no interfieren con las tablas de enrutamiento.

Compruebe el estado del nodo par de alta disponibilidad de múltiples nodos

Propósito

Vea y verifique los detalles del nodo par.

Acción

Desde el modo operativo, ejecute el siguiente comando en SRX-01 y SRX-02:

SRX-01

SRX-02

Significado

Compruebe estos detalles en el resultado del comando:

  • Detalles del nodo par, como la interfaz utilizada, la dirección IP y el ID

  • Estado de cifrado, estado de conexión y estado de sincronización en frío

  • Estadísticas de paquetes en todo el nodo.

Comprobar grupos de redundancia del servicio de alta disponibilidad multinodo

Propósito

Compruebe que los SRG estén configurados y funcionen correctamente.

Acción

Desde el modo operativo, ejecute el siguiente comando en ambos dispositivos de seguridad:

SRG1 en SRX-02

SRG2 en SRX-02

SRG1 en SRX-01

SRG2 en SRX-01

Significado

Compruebe estos detalles en el resultado del comando:

  • Detalles del nodo emparejado, como el tipo de despliegue, el estado, las rutas de señal activas y de respaldo.

  • Sonda de prevención de cerebro dividido, monitoreo de IP y estado de monitoreo de BFD.

  • Tabla de prefijos IP asociada.

Verificar el estado de cifrado del vínculo de interchasis (ICL)

Propósito

Verifique el estado del vínculo de interchasis (ICL).

Acción

Ejecute el comando siguiente en SRX-01:

Significado

La salida del comando proporciona la siguiente información:

  • La puerta de enlace local y los detalles de la puerta de enlace remota.

  • El par SA IPsec para cada subproceso de la PIC.

  • Modo de cifrado de vínculo con alta disponibilidad (como se muestra en la línea siguiente):

  • Algoritmos de autenticación y cifrado utilizados

PRECAUCIÓN:

El rango de IP (180.100.1.x) que se muestra en la salida del comando sirve como selector de tráfico IPsec de ICL. El sistema asigna dinámicamente este rango de IP, y es fundamental no alterarlo ni modificarlo. Además, BFD (detección de reenvío bidireccional) se habilitará automáticamente para el rango IP 180.x.x.x más amplio.

Verificar estadísticas de túnel de cifrado de vínculos

Propósito

Compruebe las estadísticas del túnel de cifrado de vínculos en los nodos activos y de respaldo.

Acción

Ejecute el comando siguiente en SRX-01:

Significado

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics ha-link-encryption comando varias veces para comprobar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar si el resto de los contadores de errores se incrementan.

Utilice el clear security ipsec security-associations ha-link-encryption comando para borrar todas las estadísticas de IPsec.

Verificar pares activos del vínculo de interchasis

Propósito

Vea solo los pares activos de ICL, pero no los pares activos de IKE regulares.

Acción

Ejecute los siguientes comandos en dispositivos SRX-01 y SRX-02:

SRX-1

SRX-2

Significado

La salida del comando muestra solo el par activo de la ICL con detalles como las direcciones del par y los puertos que utiliza el par activo.

Confirmar el estado de VPN

Propósito

Confirme el estado de VPN comprobando el estado de cualquier asociación de seguridad de IKE en el nivel de SRG.

Acción

Ejecute los siguientes comandos en SRX-1, SRX-2 y SRX-3 (dispositivo par VPN):

SRX-01

SRX-02

SRX-3 (dispositivo par VPN)

Significado

El resultado indica que:

  • Direcciones IP de los pares remotos.
  • El estado que aparece ACTIVO para ambos pares remotos indica la asociación correcta del establecimiento de la fase 1.
  • La dirección IP del par remoto, la política de IKE y las interfaces externas son correctas.

Mostrar detalles de la asociación de seguridad IPsec

Propósito

Muestra los detalles de SA de IPsec individuales identificados por los ID de SRG.

Acción

Ejecute el comando siguiente en los firewalls de la serie SRX:

SRX-1

SRX-02

SRX-03

Significado

El resultado muestra el estado de la VPN.

Mostrar pares activos por SRG

Propósito

Muestra la lista de pares activos conectados con direcciones de pares y puertos que están utilizando.

Acción

Ejecute los siguientes comandos en los firewalls de la serie SRX:

SRX-01

SRX-02

Significado

El resultado muestra la lista de dispositivos conectados con detalles sobre las direcciones de los pares y los puertos utilizados.

Mostrar el prefijo IP a la asignación de SRG

Propósito

Muestra el prefijo IP a la información de asignación de SRG.

Acción

Ejecute el siguiente comando en un dispositivo SRX-01.

Significado

El resultado muestra los prefijos de dirección IP asignados a SRG en la configuración.

Muestra la información de la sesión del BGP.

Propósito

Muestra información resumida sobre BGP y sus vecinos para determinar si se reciben rutas de los pares.

Acción

Ejecute los siguientes comandos en los firewalls de la serie SRX:

Dispositivo SRX-1

Dispositivo SRX-2

Significado

El resultado muestra que la sesión BGP está establecida y que los pares están intercambiando mensajes de actualización.

Ver también