IPsec en línea
Descripción general de IPsec en línea
La arquitectura IPsec proporciona un conjunto de seguridad para las capas de red IP versión 4 (IPv4) e IP versión 6 (IPv6). La suite ofrece autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no rechazo de origen.
La arquitectura IPsec en línea consta de un bloque de motor IPsec especial que admite operaciones IPsec. El PFE (motor de reenvío de paquetes) es capaz de realizar el cifrado o descifrado IPsec en línea dentro del PFE sin necesidad de descargar a una tarjeta de servicios. Por lo tanto, IPsec en línea puede lograr un mayor rendimiento.
- Características destacadas del plano de datos IPsec en línea
- Asociaciones de seguridad
- IKE
- Detección de pares muertos (DPD)
- NAT-T
- Conectividad WAN IPsec
Características destacadas del plano de datos IPsec en línea
A continuación, se muestran las características más destacadas del plano de datos IPsec
-
Admite los protocolos IPsec IPv4 e IPv6
-
Admite AES-GCM de clave de 128 bits y clave de 256 bits
-
Admite hasta 2000 túneles por chasis
-
Cada ASIC de reenvío admite dos motores de reenvío de paquetes. A partir de Junos OS versión 24.4R1, se pueden configurar ambos motores de reenvío de paquetes, admitiendo hasta 600 Gbps half-duplex (300Gbps half-duplex por PFE).
Para obtener más información sobre la plataforma y la compatibilidad con la versión de Junos, consulte Explorador de características.
La figura 1 ilustra la arquitectura del plano de datos IPsec en línea, el plano de control y el plano de administración y la interfaz de API.
Las interfaces de servicios en línea son interfaces virtuales que residen en el motor de reenvío de paquetes. Para obtener más información, consulte Habilitar interfaces de servicio en línea
Puede configurar servicios en línea con cuatro si ifds por PIC en el formato si/fpc/pic/port-number. Si el fpc es 0 y pic 0, puede tener cuatro si ifds – si-0/0/0, si-0/0/1 si-0/0/2 , y si-0/0/3.
Se admiten las siguientes características:
-
Modo de túnel ESP con AES-128-GCM y AES-256-GCM para SA IPsec para encapsulaciones IPv4 e IPv6.
-
32 bits y número de secuencia extendida (64 bits).
-
IKEV2 con identidades locales y remotas, reautenticación, autenticación mediante certificados x509, fragmentación IKE.
-
Detección de pares muertos
-
Se admite el túnel MTU por VPN. Si el paquete IPsec supera la MTU configurada, el paquete se fragmenta previamente y, a continuación, se encapsula ESP. Esto evita la fragmentación después de la encapsulación ESP.
-
Duración de SA en segundos (reclave de IKE e IPsec).
-
Encapsulación UDP de paquetes ESP.
No se admiten las siguientes características:
-
Encabezado de autenticación (AH)
-
Modo de transporte
-
Reensamblaje de paquetes IPv4 antes del descifrado
-
Cifrado nulo según RFC4543
-
IKE-V1
Las características IPsec e IKE compatibles con IPsec en línea enumeran las características IPSec e IKE compatibles para IPsec en línea:
| Característica |
Aplicable a IKE |
Aplicable a IPsec |
|---|---|---|
| MD5 |
Sí |
No |
| SHA-256 |
Sí |
No |
| SHA-384 |
Sí |
No |
| SHA-512 |
Sí |
No |
| AES-128-GCM |
Sí |
Sí |
| AES-256-GCM |
Sí |
Sí |
| 3DES-CBC |
Sí (no recomendado) |
No |
| AES-128-CBC |
Sí |
No |
| AES-192-CBC |
Sí |
No |
| AES-256-CBC |
Sí |
No |
| DES-CBC |
Sí (no recomendado) |
No |
Una asociación de seguridad (SA) es una conexión simplex que permite que dos hosts se comuniquen entre sí de forma segura mediante IPsec. Una SA encapsula los algoritmos de cifrado e integridad, las claves criptográficas, la política de seguridad y la duración de la SA. Una SA de IKE contiene atributos para establecer una SA de IPsec, mientras que una SA de IPsec define los atributos para cifrar el tráfico de datos real.
ike-key-management-daemon (IKED), un demonio de Junos RE, mantiene la vida útil de las SA de IKE e IPsec. Una configuración de IKE define los algoritmos y las claves utilizados para establecer una conexión segura con una puerta de enlace de seguridad del mismo nivel.
Asociaciones de seguridad
Para usar los servicios de seguridad IPsec, cree SA entre dos puntos de conexión. Una SA es una conexión simplex que permite que dos hosts se comuniquen entre sí de forma segura mediante IPsec. Hay dos tipos de SA:
-
Las SA manuales no requieren negociación; Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores, algoritmos y claves del índice de parámetros de seguridad (SPI) que se van a utilizar, y requieren configuraciones coincidentes en ambos extremos del túnel. Cada par debe tener las mismas opciones configuradas para que la comunicación tenga lugar.
-
Las SA dinámicas requieren una configuración adicional. . IKE crea asociaciones de seguridad dinámicas; negocia SA para IPsec. La configuración de IKE define los algoritmos y las claves utilizados para establecer la conexión IKE segura con la puerta de enlace de seguridad del mismo nivel. A continuación, esta conexión se utiliza para acordar dinámicamente claves y otros datos utilizados por la SA IPsec dinámica. La SA de IKE se negocia primero y, a continuación, se utiliza para proteger las negociaciones que determinan las SA IPsec dinámicas.
IKE
IKE es un protocolo de administración de claves que crea SA dinámicas; negocia SA para IPsec. Una configuración de IKE define los algoritmos y las claves utilizados para establecer una conexión segura con una puerta de enlace de seguridad del mismo nivel.
IKE realiza las siguientes tareas:
-
Negocia y administra los parámetros IKE e IPsec.
-
Autentica el intercambio seguro de claves.
-
Proporciona autenticación mutua entre pares mediante secretos compartidos (no contraseñas) y claves públicas.
-
Proporciona protección de identidad (en modo principal).
IPsec en línea solo admite IKE versión 2 (IKE v2). IKE negocia atributos de seguridad y establece secretos compartidos para formar la SA de IKE bidireccional. Después de negociar las SA de IKE, se establecen las SA IPsec de entrada y salida, y la SA de IKE protege el intercambio de SA de IPsec. IKE también genera material de claves, proporciona Perfect Forward Secrecy e intercambia identidades.
En el modo de solo respuesta, el enrutador de la serie MX no inicia negociaciones de IKE, solo responde a las negociaciones de IKE iniciadas por la puerta de enlace del mismo nivel. Esto puede ser necesario mientras se interopera con equipos de otros proveedores, como dispositivos Cisco. Dado que la serie MX no admite los valores de protocolo y puerto en el selector de tráfico, no puede iniciar un túnel IPsec a la puerta de enlace del mismo nivel de otro proveedor que espera estos valores. Al configurar el modo de solo respuesta en la serie MX, MX puede aceptar el selector de tráfico en la negociación IKE iniciada desde la puerta de enlace del mismo nivel.
La figura 2 ilustra el intercambio de IPsec SA e IKE entre puertas de enlace pares.
IPsec SA e IKE
Detección de pares muertos (DPD)
DPD es un método que se usa para comprobar la vivacidad del par IKE para evitar el bloqueo del tráfico IPsec. Un dispositivo realiza esta verificación enviando periódicamente sondas DPD (mensaje R-U-THERE) y esperando la respuesta DPD (mensaje R-U-THERE-ACK).
Puede configurar DPD en los siguientes modos:
-
always-send: indica al dispositivo que envíe el sondeo DPD a intervalos regulares, independientemente de si hay tráfico IPsec saliente al par.
-
optimizado: envía un sondeo DPD si no hay tráfico IKE o IPsec entrante dentro del intervalo configurado después de enviar los paquetes salientes al par. Este es el modo DPD predeterminado.
-
sonde-idle-tunnel: envía la sonda DPD durante el tiempo de inactividad del tráfico entre pares.
NAT-T
La traducción transversal de direcciones de red (NAT-T) es un método utilizado para administrar los problemas relacionados con la traducción de direcciones IP que se producen cuando los datos protegidos por IPsec pasan a través de un dispositivo configurado con NAT para la traducción de direcciones
Conectividad WAN IPsec
Los enrutadores de la serie MX que admiten IPsec en línea tienen dos segmentos de motores de reenvío de paquetes (PFE) por ASIC YT. Cada segmento PFE es capaz de alcanzar hasta 800 Gbps de ancho de banda. Cada segmento de PFE tiene dos grupos de puertos (PG), para un total de cuatro PG por año
de puertos
Cada PG admite hasta 400 Gbps de ancho de banda para conectividad WAN para tráfico regular (no IPsec). El grupo de puertos 0 de cada segmento de PFE puede admitir IPsec.
Cada grupo de puertos compatible con IPsec puede admitir una conectividad WAN de hasta 300 Gbps para el tráfico IPsec, mientras que los 100 Gbps restantes se pueden usar para el tráfico que no es IPsec.
Puede utilizarlo show chassis fpc slot-number pic slot-number para mostrar la información del grupo de puertos y el estado de conectividad WAN de un puerto.
| Plataforma |
Diferencia |
|---|---|
| MX304 |
Admite la inserción y eliminación en línea de LMIC |
Ver también
Ejemplo: configuración de un túnel IPSec en línea punto a punto
En este ejemplo se muestra cómo configurar el túnel IPsec en línea punto a punto para permitir que los datos se transfieran de forma segura entre dos sitios.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
-
Dispositivo MX304 con Servicios unificados habilitados y la compatibilidad con licencia necesaria. Para habilitar los servicios unificados en el dispositivo, ejecútelo
request system enable unified-servicesdesde la CLI y reinicie el dispositivo. Para obtener más información, consulte (Marco de servicios unificados). -
Junos OS versión 24.2R1 o posterior para enrutadores de la serie MX
Visión general
La figura 1 ilustra una topología con túnel IPSec en línea establecido entre dos pares MX304 (Peer1 y Peer2). En este ejemplo, se configura una VPN basada en rutas en Peer1 (MX304) y Peer2 (MX304). Host1 y Host2 usan la VPN para enviar tráfico de forma segura a través de Internet entre ambos hosts.
MX304
En este ejemplo, se configuran servicios en línea (para habilitar servicios en línea en la PIC), conjunto de servicios, política de seguridad, interfaces y una ruta predeterminada IPv4. Consulte la Tabla 3 a la Tabla 7 para conocer los parámetros de configuración específicos utilizados en este ejemplo.
| Característica |
Parámetros de configuración |
|---|---|
| servicios en línea |
servicios en línea |
| Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
| conjunto de servicios |
SS1 |
Interfaz de servicio interna (SI-0/0/0.0) Interfaz de servicio externa (SI-0/0/0.1) IPsec-VPN es ipsec_vpn |
| Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
| Propuesta |
ike_prop |
Método de autenticación: claves precompartidas |
| Política |
ike_policy |
|
| Entrada |
ike_gw |
|
| Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
| Propuesta |
ike_prop |
|
| Política |
ike_policy |
|
| VPN |
ipsec_vpn |
|
| Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
| Interfaces |
|
|
| Rutas estáticas |
2.2.2.0/24 |
El siguiente salto es st0.1 |
Configuración
En este ejemplo, habilita los servicios en línea, configura los parámetros del conjunto de servicios, los parámetros de configuración de IKE e IPsec, y la configuración de la interfaz y la ruta estática para Peer1. Puede utilizar la misma configuración con cambios en la dirección de puerta de enlace IPSec, direcciones de interfaz, etc. en Peer2.
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]:
set chassis fpc 0 pic 0 inline-services set services service-set ss1 next-hop-service inside-service-interface si-0/0/0.0 set services service-set ss1 next-hop-service outside-service-interface si-0/0/0.1 set services service-set ss1 ipsec-vpn ipsec_vpn set security ike proposal ike_prop description "IKE Proposal" set security ike proposal ike_prop authentication-method pre-shared-keys set security ike policy ike_policy mode main set security ike policy ike_policy proposals ike_prop set security ike policy ike_policy pre-shared-key ascii-text "test123" set security ike gateway ike_gw ike-policy ike_policy set security ike gateway ike_gw address 16.1.1.1 set security ike gateway ike_gw external-interface et-0/2/10 set security ike gateway ike_gw local-address 16.1.1.2 set security ike gateway ike_gw version v2-only set security ipsec proposal ipsec_prop description "IPSec Proposal" set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm set security ipsec policy ipsec_policy proposals ipsec_prop set security ipsec vpn ipsec_vpn bind-interface st0.1 set security ipsec vpn ipsec_vpn copy-outer-dscp set security ipsec vpn ipsec_vpn ike gateway ike_gw set security ipsec vpn ipsec_vpn ike ipsec-policy ipsec_policy set security ipsec vpn ipsec_vpn establish-tunnels immediately set interfaces et-0/1/8 unit 0 family inet address 1.1.1.1/24 set interfaces si-0/0/0 unit 0 family inet set interfaces si-0/0/0 unit 0 family inet6 set interfaces si-0/0/0 unit 0 service-domain inside set interfaces si-0/0/0 unit 1 family inet set interfaces si-0/0/0 unit 1 family inet6 set interfaces si-0/0/0 unit 1 service-domain outside set interfaces et-0/2/10 unit 0 family inet address 16.1.1.2/24 set interfaces st0 unit 1 family inet set routing-options static route 2.2.2.0/24 next-hop st0.1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS
Para configurar IPsec en línea en el enrutador MX304:
Habilite los servicios en línea.
[edit] user@host# set chassis fpc 0 pic 0 inline-services
-
Configurar un conjunto de servicios
[edit] user@host# set services service-set ss1 next-hop-service inside-service-interface si-0/0/0.0 user@host# set services service-set ss1 next-hop-service outside-service-interface si-0/0/0.1 user@host# set services service-set ss1 ipsec-vpn ipsec_vpn
Configurar la propuesta de IKE de seguridad
[edit] user@host# set security ike proposal ike_prop description "IKE Proposal" user@host# set security ike proposal ike_prop authentication-method pre-shared-keys
Configurar la política de seguridad de IKE
[edit] user@host# set security ike policy ike_policy mode main user@host# set security ike policy ike_policy proposals ike_prop user@host# set security ike policy ike_policy pre-shared-key ascii-text test123
Configurar la puerta de enlace IKE de seguridad
[edit] user@host# set security ike gateway ike_gw ike-policy ike_policy user@host# set security ike gateway ike_gw address 16.1.1.1 user@host# set security ike gateway ike_gw external-interface et-0/2/10 user@host# set security ike gateway ike_gw local-address 16.1.1.2 user@host# set security ike gateway ike_gw version v2-only
Configurar la propuesta IPsec de seguridad
[edit] user@host# set security ipsec proposal ipsec_prop description "IPSec Proposal" user@host# set security ipsec proposal ipsec_prop protocol esp user@host# set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm
Configurar la directiva IPsec de seguridad
[edit] user@host# set security ipsec policy ipsec_policy proposals ipsec_prop
Configurar VPN IPsec de seguridad
[edit] user@host# set security ipsec vpn ipsec_vpn bind-interface st0.1 user@host# set security ipsec vpn ipsec_vpn copy-outer-dscp user@host# set security ipsec vpn ipsec_vpn ike gateway ike_gw user@host# set security ipsec vpn ipsec_vpn ike ipsec-policy ipsec_policy user@host# set security ipsec vpn ipsec_vpn establish-tunnels immediately
Configurar interfaces.
[edit] user@host# set interfaces et-0/1/8 unit 0 family inet address 1.1.1.1/24 user@host# set interfaces si-0/0/0 unit 0 family inet user@host# set interfaces si-0/0/0 unit 0 family inet6 user@host# set interfaces si-0/0/0 unit 0 service-domain inside user@host# set interfaces si-0/0/0 unit 1 family inet user@host# set interfaces si-0/0/0 unit 1 family inet6 user@host# set interfaces si-0/0/0 unit 1 service-domain outside user@host# set interfaces et-0/2/10 unit 0 family inet address 16.1.1.2/24 user@host# set interfaces st0 unit 1 family inet user@host# set interfaces st0 unit 1 family inet6
Configurar ruta estática
[edit] user@host# set routing-options static route 2.2.2.0/24 next-hop st0.1
Resultados
En el modo de configuración, escriba los show security ike comandos y show security ipsec para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit security ike]
root@peer1# show
proposal ike_prop {
description "IKE Proposal";
authentication-method pre-shared-keys;
}
policy ike_policy {
mode main;
proposals ike_prop;
pre-shared-key ascii-text "$9$OY8RBcl8LNbYo7-"; ## SECRET-DATA
}
gateway ike_gw {
ike-policy ike_policy;
address 16.1.1.1;
external-interface et-0/2/10;
local-address 16.1.1.2;
version v2-only;
}
gateway ike_gwv6 {
ike-policy ike_policy;
address 1611::1;
external-interface et-0/2/10;
local-address 1611::2;
version v2-only;
}
[edit security ipsec]
root@peer1# show
proposal ipsec_prop {
description "IPSec Proposal";
protocol esp;
encryption-algorithm aes-256-gcm;
}
policy ipsec_policy {
proposals ipsec_prop;
}
vpn ipsec_vpn {
bind-interface st0.1;
ike {
gateway ike_gw;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
Verificación
Realice estas tareas para confirmar que la configuración de IPsec en línea funciona correctamente
- Verificar el estado de IKE
- Comprobación del estado de IPsec
- Probar el tráfico a través del túnel IPSec
- Revisar globalmente las estadísticas y los errores de tráfico de IPsec
Verificar el estado de IKE
Propósito
Compruebe el estado de IKE.
Acción
En el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1 UP 422250f57a089b14 02ae4230bbf3c3fc IKEv2 16.1.1.1
user@host> show security ike security-associations index 1 Index State Initiator cookie Responder cookie Mode Remote Address 1 UP 422250f57a089b14 02ae4230bbf3c3fc IKEv2 16.1.1.1
user@host> show security ike security-associations index 1 detail
IKE peer 16.1.1.1, Index 1, Gateway Name: ike_gw
Role: Responder, State: UP
Initiator cookie: 422250f57a089b14, Responder cookie: 02ae4230bbf3c3fc
Exchange type: IKEv2, Authentication method: Pre-shared-keys
Local gateway interface: et-0/2/10.0
Routing instance: default
Local: 16.1.1.2:500, Remote: 16.1.1.1:500
Lifetime: Expires in 14789 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Enabled, Size: 576
Remote Access Client Info: Unknown Client
Peer ike-id: 16.1.1.1
AAA assigned IP: 0.0.0.0
PPK-profile: None
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1778
Output bytes : 1706
Input packets: 10
Output packets: 10
Input fragmented packets: 0
Output fragmented packets: 0
IPSec security associations: 10 created, 4 deleted
Phase 2 negotiations in progress: 1
IPSec Tunnel IDs: 500001
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 16.1.1.2:500, Remote: 16.1.1.1:500
Local identity: 16.1.1.2
Remote identity: 16.1.1.1
Flags: IKE SA is created
IPsec SA Rekey CREATE_CHILD_SA exchange stats:
Initiator stats: Responder stats:
Request Out : 0 Request In : 4
Response In : 0 Response Out : 4
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Invalid KE In : 0 Invalid KE Out : 0
TS Unacceptable In : 0 TS Unacceptable Out : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0
Res Verify SA Fail : 0
Res Verify DH Group Fail: 0
Res Verify TS Fail : 0
Significado
El resultado del show security ike security-associations comando enumera todas las SA de IKE activas. Si no se enumera ninguna SA, implica que hay un problema con el establecimiento de IKE. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración.
Si las SA aparecen en la lista, revise la siguiente información:
-
Index: el valor de Index es único para cada SA de IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información acerca de la SA. -
Dirección remota: verifique que la dirección IP remota sea correcta
-
Estado
-
UP: indica que se ha establecido la SA de ICR.
-
DOWN: indica un problema al establecer la SA de IKE.
-
-
Modo: permite comprobar que se está utilizando el modo correcto
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que recibe los paquetes IKE)
-
Parámetros de política de IKE
-
Información clave precompartida
-
Parámetros de propuesta (deben coincidir en ambos pares)
El show security ike security-associations index 1 detail comando enumera información adicional acerca de la asociación de seguridad con el número de índice 1
-
Algoritmos de autenticación y cifrado utilizados
-
Vida
-
Información de funciones
Comprobación del estado de IPsec
Propósito
Comprobar el estado de IPsec
Acción
En el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.
user@host> show security ipsec security-associations Total active tunnels: 2 Total IPsec sas: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <500001 ESP:aes-gcm-256/aes256-gcm 0x8d92e737 3414/ unlim - root 500 16.1.1.1 >500001 ESP:aes-gcm-256/aes256-gcm 0x78634c46 3414/ unlim - root 500 16.1.1.1
user@host> show security ipsec security-associations index 500001
ID: 500001 Virtual-system: root, VPN Name: ipsec_vpn
Local Gateway: 16.1.1.2, Remote Gateway: 16.1.1.1
Local Identity: ipv4(0.0.0.0-255.255.255.255)
Remote Identity: ipv4(0.0.0.0-255.255.255.255)
TS Type: proxy-id
Version: IKEv2
Quantum Secured: No
PFS group: N/A
Passive mode tunneling: Disabled
DF-bit: clear, Copy-Outer-DSCP: Enabled, Bind-interface: st0.1 , Policy-name: ipsec_policy
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
Tunnel events:
Sun Oct 13 2024 11:33:44: IPSec SA is deleted because received DEL notification from peer (5 times) <- [repeated sequence END]
Sun Oct 13 2024 11:33:43: IPsec SA rekey succeeds (5 times) <- [repeated sequence START]
Sun Oct 13 2024 07:27:27: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 0
Anchorship: Thread 0
Distribution-Profile: si-0/0/0
Direction: inbound, SPI: 0x8d92e737, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3405 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2798 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-responder-only-no-rekey
IKE SA Index: 1
Direction: outbound, SPI: 0x78634c46, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3405 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2798 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-responder-only-no-rekey
IKE SA Index: 1
Significado
El resultado del show security ipsec security-associations comando muestra la siguiente información:
-
El número de identificación es 500001. Utilice este valor con el comando para obtener más información acerca de
show security ipsec security-associations indexesta SA en particular. -
Hay un par SA IPsec que usa el puerto 500, lo que indica que no se implementó ningún recorrido NAT. (El recorrido NAT utiliza el puerto 4500 u otro puerto aleatorio de número alto).
-
Los SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 3405/ unlimited indica que la vida útil expira en 3405 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración puede diferir de la duración de la duración, ya que IPsec no depende de IKE después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon . Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está inactiva.
El resultado del show security ipsec security-associations index 500001 detail comando muestra la siguiente información:
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una discrepancia de ID de proxy es una de las causas más comunes de un error de IPsec. Si no aparece ninguna SA de IPsec, confirme que las propuestas de IPsec, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0.
Probar el tráfico a través del túnel IPSec
Propósito
Compruebe el flujo de tráfico a través del túnel IPSec.
Acción
-
Enviar tráfico IPv4 de texto sin cifrar del Host1 al Host2 y viceversa.
-
Flujo de tráfico del host 1 al host 2: IP Src: 1.1.1.1 y DST IP: 2.2.2.2
-
Flujo de tráfico de Host1 a Host2: IP Src: 2.2.2.2 y Dst IP: 1.1.1.1
Significado
En Peer1:
-
El tráfico IPv4 de texto sin cifrar recibido del Host1 se cifraría antes de enviarse al par2
-
El tráfico cifrado recibido de Peer2 se descifraría antes de enviarlo al Host1
Revisar globalmente las estadísticas y los errores de tráfico de IPsec
Propósito
Revise los errores y contadores de encabezado de autenticación y ESP para una asociación de seguridad IPsec.
Acción
En el modo operativo, escriba show security ipsec statistics para ver las estadísticas en el nivel global y show security ipsec statistics index index_number el comando, utilizando el número de índice IPsec para ver las estadísticas en el nivel de índice de túnel.
user@host> show security ipsec statistics ESP Statistics: Encrypted bytes: 875126 Decrypted bytes: 1073684 Encrypted packets: 3677 Decrypted packets: 3677 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
user@host> show security ipsec statistics index 500001 ESP Statistics: Encrypted bytes: 875126 Decrypted bytes: 1073684 Encrypted packets: 3677 Decrypted packets: 3677 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Significado
Si ve problemas de pérdida de paquetes en una VPN, ejecute el show security ipsec statistics comando o show security ipsec statistics index index_number varias veces para confirmar si los contadores de paquetes cifrados y descifrados se incrementan. Compruebe si hay contadores de errores incrementales en la salida del comando.
clear security ipsec statistics comando.
Reenvío de paquetes IPsec en línea
La figura 5 ilustra una vista de alto nivel de un recorrido de paquetes IP. El paquete IP ingresa al enrutador a través de una interfaz entrante y se somete a encapsulación ESP.
ESP de reenvío de paquetes IP
La Figura 6 ilustra una vista de alto nivel del paquete encapsulado ESP que ingresa al enrutador a través de una interfaz entrante y se somete a desencapsulación.
ESP de reenvío de paquetes IPsec
Reenvío de múltiples rutas IPsec en línea con encapsulación UDP
- Encapsulación UDP del tráfico ESP
- Encapsulación de tráfico VXLAN de capa 3 mediante interfaces de túnel flexibles (FTI)
Encapsulación UDP del tráfico ESP
IPsec proporciona túneles seguros entre dos pares y los paquetes encapsulados IPsec tienen encabezados IP que contienen IP de extremo de túnel que no cambian. Esto da como resultado la selección de una única ruta de reenvío entre los pares, como se muestra en la figura 7. Cuando el tráfico IPsec fluye entre centros de datos con miles de hosts, esta selección de ruta única limita el rendimiento.
de reenvío
Puede solucionar este problema habilitando la encapsulación UDP de los paquetes IPsec, que anexa un encabezado UDP después del encabezado ESP, como se muestra en la figura 8 . Esto proporciona información de las capas 3 y 4 a los enrutadores intermedios, y los paquetes IPsec se reenvían a través de varias rutas, como se muestra en la figura 9 . Habilitar la encapsulación UDP para el conjunto de servicios.
de reenvío
Puede configurar el puerto de destino UDP con el valor comprendido entre 1025 y 65536. El número de puerto de destino predeterminado es 500. No puede configurar el 4500 como puerto de destino porque es un puerto conocido para los recorridos NAT.
El valor del puerto de origen generado es del 49152 al 65535.
La encapsulación UDP admite la traslación de direcciones de red (NAT-T)
La detección de un dispositivo NAT entre pares IPsec tiene prioridad sobre la configuración de encapsulación UDP. Si la encapsulación UDP está configurada entre dos pares, pero NAT se detecta entre los mismos pares, se implementan mecanismos NAT-Traversal.
Un paquete IP entrante se descarta si:
-
udp-encapsulationestá habilitado y si el paquete IP recibido no tiene encabezado UDP. -
udp-encapsulationestá habilitado y si el puerto de destino UDP no es el mismo que el configurado. -
udp-encapsulationestá habilitado y si el puerto de destino UDP no es 500 o no está configurado.
Para habilitar o deshabilitar la encapsulación UDP y configurar el puerto de destino UDP:
Configure el puerto de destino global no estándar. Esto es necesario para registrar o abrir el puerto para IPsec. No puede asignar el puerto 500 y el puerto 4500 ya que están enlazados a IPsec, de forma predeterminada.
[edit security ike] user@host> set packet-encapsulation dest-port dest-port
Habilite la encapsulación de paquetes en la puerta de enlace IKE.
[edit security ike gateway gw1] user@host> set packet-encapsulation
Configure el puerto de destino UDP en puerto no estándar.
[edit security ike gateway gw1] user@host> set packet-encapsulation use-global-dest-port
Encapsulación de tráfico VXLAN de capa 3 mediante interfaces de túnel flexibles (FTI)
Junos OS admite el tráfico VXLAN a través de un túnel IPsec mediante FTI y VTEP VXLAN. Para obtener más información, consulte Configuración de interfaces de túnel flexibles y Descripción de las VXLAN.
Estándares IPsec e IKE compatibles con IPsec en línea
Las siguientes RFC proporcionan información acerca de IPsec, IKE y tecnologías relacionadas:
-
RFC 2085, Autenticación IP HMAC-MD5 con prevención de reproducción
-
RFC 2401, Arquitectura de seguridad para el protocolo de Internet (obsoleto por RFC 4301)
-
RFC 2402, encabezado de autenticación IP (obsoleto por RFC 4302)
-
RFC 2403 El uso de HMAC-MD5-96 dentro de ESP y AH
-
RFC 2404 El uso de HMAC-SHA-1-96 dentro de ESP y AH (obsoleto por RFC 4305)
-
RFC 2405 El algoritmo de cifrado ESP DES-CBC con IV explícito
-
RFC 2406 IP Encapsulating Security Payload (ESP) (obsoleto por RFC 4303 y RFC 4305)
-
RFC 2407 El dominio de interpretación de seguridad IP de Internet para ISAKMP (obsoleto por RFC 4306)
-
RFC 2408 Protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP) (obsoleto por RFC 4306)
-
RFC 2409 El intercambio de claves por Internet (IKE) (obsoleto por RFC 4306)
-
RFC 2410 El algoritmo de cifrado NULL y su uso con IPsec
-
RFC 2451 Los algoritmos de cifrado ESP en modo CBC
-
RFC 2560 X.509 Infraestructura de clave pública de Internet Protocolo de estado de certificado en línea (OCSP)
-
RFC 3193 Proteger L2TP mediante IPsec
-
RFC 3280 Perfil de lista de revocación de certificados (CRL) y certificado de infraestructura de clave pública de Internet X.509
-
RFC 3602 El algoritmo de cifrado AES-CBC y su uso con IPsec
-
RFC 3948 Encapsulación UDP de paquetes ESP IPsec
-
RFC 4106: El uso del modo Galois/Counter (GCM) en la carga de seguridad de encapsulación (ESP) IPsec
-
RFC 4210 Protocolo de administración de certificados (CMP) de infraestructura de clave pública X.509 de Internet
-
RFC 4211, Formato de mensajes de solicitud de certificados (CRMF) de infraestructura de clave pública X.509 de Internet
-
RFC 4301, Arquitectura de seguridad para el protocolo de Internet
-
RFC 4302, Encabezado de autenticación IP
-
RFC 4303, Carga de seguridad de encapsulación (ESP) de IP
-
RFC 4305, Requisitos de implementación de algoritmos criptográficos para encapsular la carga de seguridad (ESP) y el encabezado de autenticación (AH)
-
RFC 4306, Protocolo de intercambio de claves por Internet (IKEv2)
-
RFC 4307, Algoritmos criptográficos para uso en el intercambio de claves por Internet versión 2 (IKEv2)
-
RFC 4308, Conjuntos criptográficos para IPsec
Solo se admite el conjunto VPN-A en Junos OS.
-
RFC 4754, Autenticación IKE e IKEv2 mediante el algoritmo de firma digital de curva elíptica (ECDSA)
-
RFC 4835, Requisitos de implementación de algoritmos criptográficos para encapsular la carga de seguridad (ESP) y el encabezado de autenticación (AH)
-
RFC 5996, Protocolo de intercambio de claves por Internet versión 2 (IKEv2) (obsoleto por RFC 7296)
-
RFC 7296, Protocolo de intercambio de claves por Internet versión 2 (IKEv2)
-
RFC 7427, Autenticación de firma en el intercambio de claves por Internet versión 2 (IKEv2)
-
RFC 7634, ChaCha20, Poly1305 y su uso en el Protocolo de intercambio de claves por Internet (IKE) e IPsec
-
RFC 8200, protocolo de Internet, versión 6 (IPv6) Especificación
Junos OS admite parcialmente las siguientes RFC para IPsec e IKE:
-
RFC 3526, Grupos Diffie-Hellman exponenciales más modulares (MODP) para intercambio de claves por Internet (IKE)
-
RFC 5114, Grupos Diffie-Hellman adicionales para su uso con los estándares IETF
-
RFC 5903, Grupos de curva elíptica módulo A Prime (grupos ECP) para IKE e IKEv2
Los siguientes RFC y borradores de Internet no definen estándares, sino que proporcionan información acerca de IPsec, IKE y tecnologías relacionadas. El IETF los clasifica como "informativos".
-
RFC 2104, HMAC: Keyed-hashing para la autenticación de mensajes
-
RFC 2412, El protocolo de determinación de claves de OAKLEY
-
RFC 3706, Un método basado en el tráfico para detectar pares inactivos de intercambio de claves por Internet (IKE)
-
Borrador de draft-eastlake-sha2-02.txt de Internet, US Secure Hash Algorithms (SHA y HMAC-SHA) (expira en julio de 2006)
Ver también
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.