Túneles IPsec con puntos de conexión dinámicos
Configuración de puntos de conexión dinámicos para túneles IPsec
Los túneles IPsec también se pueden establecer mediante puertas de enlace de seguridad dinámicas de par , en las que los extremos remotos de los túneles no tienen una dirección IP asignada estáticamente. Dado que no se conoce la dirección remota y es posible que se extraiga de un conjunto de direcciones cada vez que se reinicie el host remoto, el establecimiento del túnel se basa en el uso del modo IKE main con claves globales previamente compartidas o certificados digitales que aceptan cualquier valor de identificación remota. Se admiten túneles basados en políticas y de tipo vínculo:
Túneles basados en políticas utilizados en modo compartido.
Los túneles enrutados o de tipo vínculo utilizan el modo dedicado. Cada túnel asigna una interfaz de servicios de un conjunto de interfaces configuradas para los pares dinámicos. Los protocolos de enrutamiento se pueden configurar para ejecutarse en estas interfaces de servicios para aprender rutas a través del túnel IPsec que se utiliza como vínculo en este escenario.
En esta sección se incluyen los temas siguientes:
- Proceso de autenticación
- Reglas dinámicas implícitas
- Inserción de ruta inversa
- Configuración de un perfil de acceso de IKE
- Hacer referencia al perfil de acceso de IKE en un conjunto de servicios
- Configuración del identificador de interfaz
- Propuestas IKE e IPsec predeterminadas
- Distribución de túneles IPsec de punto de conexión entre interfaces de servicios
Proceso de autenticación
El remoto (par dinámico) inicia las negociaciones con el enrutador local (Juniper Networks). El enrutador local utiliza las políticas IKE e IPsec predeterminadas para hacer coincidir las propuestas enviadas por el par remoto para negociar los valores de asociación de seguridad (SA). Las propuestas implícitas contienen una lista de todas las transformaciones admitidas que el enrutador local espera de todos los pares dinámicos.
Si se usa la autenticación de clave previamente compartida, la clave previamente compartida es global para un conjunto de servicios. Cuando se busca la clave previamente compartida para el par, el enrutador local hace coincidir la dirección de origen del par con cualquier clave previamente compartida configurada explícitamente en ese conjunto de servicios. Si no se encuentra una coincidencia, el enrutador local utiliza la clave global previamente compartida para la autenticación.
La fase 2 de la autenticación hace coincidir las identidades de proxy de los hosts y redes protegidos enviados por el par con una lista de identidades de proxy configuradas. La identidad de proxy aceptada se utiliza para crear las reglas dinámicas para cifrar el tráfico. Puede configurar identidades de proxy incluyendo la allowed-proxy-pair instrucción en el perfil de acceso de IKE. Si no coincide ninguna entrada, se rechaza la negociación.
Si no configura la allowed-proxy-pair instrucción, se aplica el valor ANY(0.0.0.0/0)-ANY predeterminado y el enrutador local acepta las identidades de proxy enviadas por el par. Se aceptan direcciones IPv4 e IPv6, pero debe configurar todas las direcciones IPv6 manualmente.
Una vez que la negociación de fase 2 se completa correctamente, el enrutador crea las reglas dinámicas e inserta la ruta inversa en la tabla de enrutamiento utilizando la identidad de proxy aceptada.
Reglas dinámicas implícitas
Después de una negociación correcta con el par dinámico, el proceso de administración de claves (kmd) crea una regla dinámica para el proxy de fase 2 aceptado y la aplica en el AS local o en la PIC de multiservicios. Las direcciones de origen y destino se especifican mediante el proxy aceptado. Esta regla se utiliza para cifrar el tráfico dirigido a uno de los hosts finales en la identidad de proxy de fase 2.
La regla dinámica incluye un ipsec-inside-interface valor, que es el nombre de interfaz asignado al túnel dinámico. Los source-address valores y destination-address se aceptan desde el ID de proxy. El match-direction valor es input para conjuntos de servicios de estilo de siguiente salto.
No configure esta regla; Se crea mediante el proceso de administración de claves (KMD).
La búsqueda de reglas para túneles estáticos no se ve afectada por la presencia de una regla dinámica; Se realiza en el orden configurado. Cuando se recibe un paquete para un conjunto de servicios, las reglas estáticas siempre coinciden primero.
Las reglas dinámicas se hacen coincidir después de que se haya producido un error en la coincidencia de reglas para las reglas estáticas.
La respuesta a los mensajes de saludo de detección de pares inactivos (DPD) se produce de la misma manera con los pares dinámicos que con los pares estáticos. No se admite el inicio de mensajes de saludo DPD desde pares dinámicos.
Inserción de ruta inversa
Las rutas estáticas se insertan automáticamente en la tabla de rutas para aquellas redes y hosts protegidos por un punto de conexión de túnel remoto. Estos hosts y redes protegidos se conocen como identidades de proxy remotas.
Cada ruta se crea en función de la máscara y la red de proxy remoto enviada por el par y se inserta en la tabla de rutas pertinente después de negociaciones exitosas de fase 1 y fase 2.
La preferencia de ruta para cada ruta inversa estática es 1. Este valor es necesario para evitar conflictos con rutas similares que podría agregar el proceso de protocolo de enrutamiento (rpd).
No se agregan rutas si la dirección de proxy remoto aceptada es la predeterminada (0.0.0.0/0). En este caso, puede ejecutar protocolos de enrutamiento a través del túnel IPsec para aprender rutas y agregar rutas estáticas para el tráfico que desea proteger en este túnel.
Para los conjuntos de servicios de estilo de salto siguiente, las rutas inversas incluyen los saltos siguientes que apuntan a las ubicaciones especificadas por la inside-service-interface instrucción.
La tabla de rutas en la que se insertan estas rutas depende de dónde se muestre la inside-service-interface ubicación. Si estas interfaces están presentes en una instancia de enrutamiento y reenvío VPN (VRF), las rutas se agregan a la tabla VRF correspondiente; de lo contrario, las rutas se agregan a inet.0.
La inserción de ruta inversa solo se lleva a cabo para túneles a pares dinámicos. Estas rutas solo se agregan para conjuntos de servicios de estilo de salto siguiente.
Configuración de un perfil de acceso de IKE
Solo puede configurar un perfil de túnel por conjunto de servicios para todos los pares dinámicos. La clave previamente compartida configurada en el perfil se utiliza para la autenticación IKE de todos los pares dinámicos que terminan en ese conjunto de servicios. Como alternativa, puede incluir la ike-policy instrucción para hacer referencia a una política de IKE que defina con valores de identificación específicos o con un comodín (la any-remote-id opción). La política de ICR se configura en el [edit services ipsec-vpn ike] nivel de jerarquía.
El perfil de túnel de IKE especifica toda la información necesaria para completar la negociación de ICR. Cada protocolo tiene su propia jerarquía de instrucciones dentro de la instrucción client para configurar pares de valores de atributo específicos del protocolo, pero solo se permite una configuración de cliente para cada perfil. A continuación se muestra la configuración en el nivel jerárquico; para obtener más información sobre los [edit access] perfiles de acceso, consulte la biblioteca de administración de Junos OS para dispositivos de enrutamiento.
[edit access]
profile profile-name {
client * {
ike {
allowed-proxy-pair {
remote remote-proxy-address local local-proxy-address;
}
pre-shared-key (ascii-text key-string | hexadecimal key-string);
ike-policy policy-name;
interface-id <string-value>;
ipsec-policy ipsec-policy;
}
}
}
Para pares dinámicos, Junos OS admite el modo principal de IKE con el método de autenticación de clave previamente compartida o con un perfil de acceso IKE que utiliza un certificado digital local.
En el modo de clave previamente compartida, la dirección IP se utiliza para identificar un par de túnel y obtener la información de la clave previamente compartida. El
clientvalor*(comodín) significa que la configuración dentro de este perfil es válida para todos los pares dinámicos que terminan dentro del conjunto de servicios que accede a este perfil.En el modo de certificado digital, la política de IKE define qué valores de identificación remota se permiten.
Las siguientes instrucciones conforman el perfil de ICR:
allowed-proxy-pair: durante la negociación de IKE de fase 2, el par remoto proporciona su dirección de red (remote) y la dirección de red de su par (local). Dado que varios túneles dinámicos se autentican a través del mismo mecanismo, esta instrucción debe incluir la lista de combinaciones posibles. Si el par dinámico no presenta una combinación válida, se produce un error en la negociación de IKE de fase 2.De forma predeterminada,
remote 0.0.0.0/0 local 0.0.0.0/0se utiliza si no se configura ningún valor. En esta configuración se admiten los formatos de dirección IPv4 e IPv6, pero no hay direcciones IPv6 predeterminadas. Debe especificar incluso0::0/0.pre-shared-key: clave utilizada para autenticar el par dinámico durante la negociación de fase 1 de IKE. Esta clave es conocida por ambos extremos a través de un mecanismo seguro fuera de banda. Puede configurar el valor en oascii-textformathexadecimal. Es un valor obligatorio.ike-policy—Política que define los valores de identificación remota correspondientes a los pares dinámicos permitidos; Puede contener un valorany-remote-idcomodín solo para usarse en configuraciones de puntos de conexión dinámicos.interface-id: identificador de interfaz, atributo obligatorio que se utiliza para derivar la información de interfaz de servicios lógicos para la sesión.ipsec-policy: nombre de la política IPsec que define la información de política IPsec para la sesión. La política de IPsec se define en el[edit services ipsec-vpn ipsec policy policy-name]nivel de jerarquía. Si no se establece ninguna política, se acepta cualquier política propuesta por el par dinámico.
Hacer referencia al perfil de acceso de IKE en un conjunto de servicios
Para completar la configuración, debe hacer referencia al perfil de acceso de IKE configurado en el [edit access] nivel de jerarquía. Para ello, incluya la ike-access-profile instrucción en el nivel de [edit services service-set name ipsec-vpn-options] jerarquía:
[edit services service-set name] ipsec-vpn-options { local-gateway address; ike-access-profile profile-name; } next-hop-service { inside-service-interface interface-name; outside-service-interface interface-name; }
La ike-access-profile instrucción debe hacer referencia al mismo nombre que la profile instrucción que configuró para el acceso a IKE en el nivel jerárquico [edit access] . Solo puede hacer referencia a un perfil de acceso en cada conjunto de servicios. Este perfil se utiliza para negociar asociaciones de seguridad IKE e IPsec solo con pares dinámicos.
Todas las interfaces a las que hace referencia la inside-service-interface instrucción dentro de un conjunto de servicios deben pertenecer a la misma instancia de VRF.
Configuración del identificador de interfaz
Puede configurar un identificador de interfaz para un grupo de pares dinámicos, el cual especifica qué interfaces lógicas de servicios adaptables participan en la negociación dinámica de IPsec. Si asigna el mismo identificador de interfaz a varias interfaces lógicas, puede crear un conjunto de interfaces para este fin. Para configurar un identificador de interfaz, incluya la ipsec-interface-id instrucción y la dedicated instrucción or shared en el nivel de [edit interfaces interface-name unit logical-unit-number dial-options] jerarquía:
[edit interfaces interface-name unit logical-unit-number dial-options] ipsec-interface-id identifier; (dedicated | shared);
Si especifica el identificador de interfaz en la instrucción, dial-options esta interfaz lógica forma parte del conjunto identificado por la ipsec-interface-id instrucción.
Solo se puede especificar un identificador de interfaz a la vez. Puede incluir la ipsec-interface-id instrucción o la l2tp-interface-id declaración, pero no ambas.
Si configura shared el modo, permite que una interfaz lógica se comparta en varios túneles. La dedicated instrucción especifica que la interfaz lógica se utiliza en un modo dedicado, lo cual es necesario cuando se configura un túnel de tipo vínculo IPsec. Debe incluir la dedicated instrucción cuando especifique un ipsec-interface-id valor.
Propuestas IKE e IPsec predeterminadas
El software incluye propuestas IKE e IPsec predeterminadas implícitas para que coincidan con las propuestas enviadas por los pares dinámicos. Los valores se muestran en la Tabla 1; Si se muestra más de un valor, el primer valor es el predeterminado.
Los certificados RSA no son compatibles con la configuración de punto de conexión dinámico.
Nombre de la instrucción |
Valores |
|---|---|
| Propuesta de IKE implícita | |
|
|
|
|
|
|
|
|
|
|
| Propuesta IPsec implícita | |
|
|
|
|
|
|
|
|
Distribución de túneles IPsec de punto de conexión entre interfaces de servicios
A partir de la versión 16.2R1 de Junos OS, puede distribuir túneles IPsec con puntos de conexión dinámicos entre varias MS-MIC o entre varias PIC de servicio de una MS-MPC. La distribución de túneles se configura configurando un conjunto de servicios IPsec de salto siguiente para la interfaz de multiservicios (ms-) de cada PIC de servicio. A partir de Junos OS versión 17.1R1, también puede distribuir túneles IPsec con puntos de conexión dinámicos entre interfaces de multiservicios agregadas (AMS) de MS-MIC o MS-MPC configurando un conjunto de servicios IPsec de salto siguiente para cada interfaz AMS.
Más adelante puede agregar hardware de PIC de servicio al enrutador de la serie MX e incluir la PIC de servicio en la distribución del túnel simplemente agregando otro conjunto de servicios, sin necesidad de cambiar la configuración de los pares IPsec.
Para configurar la distribución de túneles, realice los pasos siguientes cuando configure túneles IPsec de punto de conexión dinámicos:
Configure un conjunto de servicios IPsec de salto siguiente para cada interfaz de servicios o interfaz AMS utilizada por el túnel IPsec del punto de conexión dinámico (consulte Hacer referencia al perfil de acceso de IKE en un conjunto de servicios). Todos los conjuntos de servicios deben:
Utilice el mismo tipo de interfaz de servicios, ya sean interfaces de multiservicios (MS) o AMS (AMS).
Tenga una interfaz en la
outside-serviceinstrucción que se encuentre en la misma instancia de enrutamiento y reenvío VPN (VRF) que las interfaces de los otros conjuntos de servicios.Tener la misma
local-gatewaydirección IP.Tienen el mismo
ike-access-profilenombre.
Cuando configure el identificador de interfaz (consulte Configurar el identificador de interfaz), debe
ipsec-interface-id identifierconfigurarse:Solo en interfaces que aparecen en las
inside-service-setinstrucciones de los conjuntos de servicios.Con
dedicatedpara todas las interfaces o consharedpara todas las interfaces.Bajo no más de una unidad compartida de una interfaz.
Solo en interfaces configuradas con
service-domain inside.Solo en interfaces que se encuentran en el mismo VRF.
Ejemplo: Configuración de túneles basados en políticas asignados dinámicamente
En este ejemplo, se muestra cómo configurar túneles basados en políticas asignados dinámicamente y se incluyen las siguientes secciones.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Tres enrutadores de la serie M, la serie MX o la serie T.
-
Junos OS versión 9.4 o posterior.
Descripción general y topología
Una política de IPsec para puntos de conexión dinámicos define una combinación de parámetros de seguridad (propuestas de IPsec) que se utilizan durante la negociación de IPsec entre puertas de enlace de seguridad de pares dinámicos, en la que los extremos remotos de los túneles no tienen una dirección IP asignada estáticamente.
Una VPN basada en políticas es una configuración con un túnel VPN específico al que se hace referencia en una política que actúa como túnel. Utilice una VPN basada en políticas si el dispositivo VPN remoto no es de Juniper y si debe acceder solo a una subred o a una red en el sitio remoto, a través de la VPN.
En este ejemplo, se explica la topología de tunelización del punto de conexión dinámico IPsec como se muestra en la Figura 1.
Antes de configurar túneles asignados dinámicamente, asegúrese de contar con lo siguiente:
-
Una red local N-1 conectada a una puerta de enlace de seguridad SG-1. Los puntos de salida deben tener un enrutador de Juniper Networks para terminar los puntos de conexión estáticos y dinámicos del par. La dirección de terminación del túnel en SG-1 es 10.1.1.1 y la dirección de red local es 172.16.1.0/24.
-
Dos enrutadores pares remotos que obtienen direcciones de un conjunto de ISP y ejecutan un IKE compatible con RFC. La red remota N-2 tiene la dirección 172.16.2.0/24 y está conectada a la puerta de enlace de seguridad SG-2 con la dirección de terminación del túnel 10.2.2.2. La red remota N-3 tiene la dirección 172.16.3.0/24 y está conectada a la puerta de enlace de seguridad SG-3 con la dirección de terminación del túnel 10.3.3.3.
Topología
Configuración
Para configurar túneles basados en políticas asignados dinámicamente, realice estas tareas:
Los tipos de interfaz que se muestran en este ejemplo son solo para fines indicativos. Por ejemplo, puede usar so- interfaces en lugar de y sp- en lugar de ge- ms-.
- Configuración rápida de CLI
- Configuración de un conjunto de servicios SG1 de salto siguiente
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador SG1.
Configuración de interfaces
set interfaces ms-0/0/0 unit 0 family inet set interfaces ms-0/0/0 unit 1 family inet set interfaces ms-0/0/0 unit 1 service-domain inside set interfaces ms-0/0/0 unit 1 dial-options ipsec-interface-id demo-ipsec-interface-id set interfaces ms-0/0/0 unit 1 dial-options shared set interfaces ms-0/0/0 unit 2 family inet set interfaces ms-0/0/0 unit 2 service-domain outside
Configuración del perfil de acceso
set access profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.2.0/24 local 172.16.1.0/24 set access profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.3.0/24 local 172.16.1.0/24 set access profile demo-access-profile client * ike ascii-text keyfordynamicpeers set access profile demo-access-profile client * ike interface-id demo-ipsec-interface-id
Configuración del conjunto de servicios
set services service-set demo-service-set next-hop-service inside-service-interface ms-0/0/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-0/0/0.2
Configuración de las propiedades de IPsec
set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_demo1 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy demo2 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy demo2 proposals ipsec_proposal_demo1 set services ipsec-vpn ike proposal ike_proposal_demo1 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_demo1 dh-group group2 set services ipsec-vpn ike policy ike_policy_demo1 version 2 set services ipsec-vpn ike policy ike_policy_demo1 proposals ike_proposal_demo1 set services ipsec-vpn ike policy ike_policy_demo1 pre-shared-key ascii-text keyfordemo1
Configuración de instancias de enrutamiento
set routing-instances demo-vrf instance-type vrf set routing-instances demo-vrf ms-0/0/0.1 set routing-instances demo-vrf ms-0/0/0.2
Configuración de un conjunto de servicios SG1 de salto siguiente
Procedimiento paso a paso
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración.
-
Configure las interfaces.
[edit interfaces] user@router1# set interfaces ms-0/0/0 unit 0 family inet user@router1# set interfaces ms-0/0/0 unit 1 family inet user@router1# set interfaces ms-0/0/0 unit 1 service-domain inside user@router1# set interfaces ms-0/0/0 unit 1 dial-options ipsec-interface-id demo-ipsec-interface-id user@router1# set interfaces ms-0/0/0 unit 1 dial-options mode shared user@router1# set interfaces ms-0/0/0 unit 2 family inet user@router1# set interfaces ms-0/0/0 unit 2 service-domain outside
-
Configure el perfil de acceso.
[edit access] user@router1# set profile demo-access-profile client * ike allowed-proxy-pair remote 172.16.2.0/24 local 172.16.1.0/24 user@router1# set profile demo-access-profile client * ike ascii-text keyfordynamicpeers user@router1# set profile demo-access-profile client * ike interface-id demo-ipsec-interface-id
-
Configure el conjunto de servicios.
[edit services] user@router1# set service-set demo-service-set next-hop-service inside-service-interface ms-0/0/0.1 user@router1# set service-set demo-service-set next-hop-service outside-service-interface ms-0/0/0.2
-
Configure las propiedades de IPsec.
[edit services ipsec-vpn] user@router1#set ipsec proposal ipsec_proposal_demo1 protocol esp user@router1#set ipsec proposal ipsec_proposal_demo1 authentication-algorithm hmac-sha1-96 user@router1#set ipsec proposal ipsec_proposal_demo1 encryption-algorithm 3des-cbc user@router1#set ipsec policy demo2 perfect-forward-secrecy keys group2 user@router1#set ipsec policy demo2 proposals ipsec_proposal_demo1 user@router1#set ike proposal ike_proposal_demo1 authentication-method pre-shared-keys user@router1#set ike proposal ike_proposal_demo1 dh-group group2 user@router1#set ike policy ike_policy_demo1 version 2 user@router1#set ike policy ike_policy_demo1 proposals ike_proposal_demo1 user@router1#set ike policy ike_policy_demo1 pre-shared-key ascii-text keyfordemo1
-
Configure las instancias de enrutamiento.
[edit routing-instances] user@router1# set demo-vrf instance-type vrf user@router1# set demo-vrf ms-0/0/0.1 user@router1# set demo-vrf ms-0/0/0.2
Resultados
Desde el modo de configuración del enrutador 1, ingrese los comandos , show accessy show services para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
interfaces {
ms-0/0/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
dial-options {
ipsec-interface-id demo-ipsec-interface-id;
mode shared;
}
}
unit 2 {
family inet;
service-domain outside;
}
}
}
access {
profile demo-access-profile client * {
ike {
allowed-proxy-pair {
remote 172.16.2.0/24 local 172.16.1.0/24; #Set for Network 2 connected to Network 1
remote 172.16.3.0/24 local 172.16.1.0/24; #Set for Network 3 connected to Network 1
}
pre-shared-key {
ascii-text keyfordynamicpeers;
}
interface-id demo-ipsec-interface-id;
}
}
}
services {
service-set demo-service-set {
next-hop-service {
inside-service-interface ms-0/0/0.1;
outside-service-interface ms-0/0/0.2;
}
ipsec-vpn-options {
local-gateway 10.1.1.1;
ike-access-profile demo-access-profile;
}
}
ipsec-vpn {
ipsec {
proposal ipsec_proposal_demo1 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo2 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_proposal_demo1;
}
}
ike {
proposal ike_proposal_demo1 {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike_policy_demo1 {
version 2;
proposals ike_proposal_demo1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
}
}
routing-instances {
demo-vrf {
instance-type vrf;
interface ms-0/0/0.1;
interface ms-0/0/0.2;
}
}
Verificación
Verificar que se ha creado el conjunto de servicios SG1 de salto siguiente con túneles basados en políticas
Propósito
Compruebe que se ha creado el conjunto de servicios SG1 del próximo salto con túneles basados en políticas.
Acción
Desde el modo operativo, introduzca el show route comando.
user@router1> show route demo-vrf.inet.0: .... # Routing instance 172.11.0.0/24 *[Static/1].. > via ms-0/0/0.1 172.12.0.0/24 *[Static/1].. > via ms-0/0/0.1
Desde el modo operativo, ingrese el show services ipsec-vpn ipsec security-associations detail
user@router1>show services ipsec-vpn ipsec security-associations detail rule: junos-dynamic-rule-0 term: term-0 local-gateway-address : 10.1.1.1 #Tunnel termination address on SG-1 remote-gateway-address: 10.2.2.2 #Tunnel termination address on SG-2 source-address : 0.0.0.0/0 destination-address : 0.0.0.0/0 ipsec-inside-interface: ms-0/0/0.1 term: term-1 local-gateway-address : 10.1.1.1 #Tunnel termination address on SG-1 remote-gateway-address: 10.3.3.3 #Tunnel termination address on SG-3 source-address : 0.0.0.0/0 destination-address : 0.0.0.0/0 IPsec Properties ipsec-inside-interface: ms-0/0/0.1 match-direction: input
Significado
En show services ipsec-vpn ipsec security-associations detail el resultado del comando se muestran las propiedades que configuró.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.