Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conjuntos de servicios para túneles IPsec de punto de conexión estático

Conjuntos de servicios

El PIC de Adaptive Services admite dos tipos de conjuntos de servicios al configurar túneles IPSec. Dado que se utilizan para diferentes propósitos, es importante conocer las diferencias entre estos tipos de conjuntos de servicios.

  • Conjunto de servicios del próximo salto: admite protocolos de enrutamiento dinámico de multidifusión y de estilo multidifusión (como OSPF) a través de IPSec. Los conjuntos de servicios del próximo salto permiten usar interfaces lógicas internas y externas en la PIC de Adaptive Services para conectarse con varias instancias de enrutamiento. También permiten el uso de la traducción de direcciones de red (NAT) y capacidades de firewall con estado. Sin embargo, los conjuntos de servicios del próximo salto no supervisan el tráfico del motor de enrutamiento de forma predeterminada y requieren la configuración de varios conjuntos de servicios para admitir el tráfico de varias interfaces.

  • Conjunto de servicios de interfaz: se aplica a una interfaz física y es similar a un filtro de firewall sin estado. Son fáciles de configurar, pueden admitir tráfico de múltiples interfaces y pueden monitorear el tráfico del motor de enrutamiento de forma predeterminada. Sin embargo, no pueden admitir protocolos de enrutamiento dinámico ni tráfico de multidifusión a través del túnel IPSec.

En general, se recomienda usar conjuntos de servicios del próximo salto porque admiten protocolos de enrutamiento y multidifusión a través del túnel IPSec, son más fáciles de entender y la tabla de enrutamiento toma decisiones de reenvío sin intervención administrativa.

Configuración de conjuntos de servicios IPsec

Los conjuntos de servicios IPsec requieren especificaciones adicionales que se configuran en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía:

La configuración de estas instrucciones se describe en las secciones siguientes:

Configuración de la dirección de puerta de enlace local para conjuntos de servicios IPsec

Si configura un conjunto de servicios IPsec, también debe configurar una dirección IPv4 o IPv6 local incluyendo la local-gateway instrucción:

  • Si la dirección IP de la puerta de enlace de intercambio de claves por Internet (IKE) está en inet.0 (la situación predeterminada), configure la instrucción siguiente:

  • Si la dirección IP de la puerta de enlace de IKE se encuentra en una instancia de enrutamiento y reenvío VPN (VRF), configure la instrucción siguiente:

Puede configurar todos los túneles de tipo vínculo que comparten la misma dirección de puerta de enlace local en un único conjunto de servicios de estilo próximo salto. Debe especificar un valor para la inside-service-interface instrucción en el nivel de jerarquía que coincida con el valor que configure en el ipsec-inside-interface nivel de [edit services service-set service-set-name] [edit services ipsec-vpn rule rule-name term term-name from] jerarquía. Para obtener más información acerca de la configuración de IPsec, consulte Configuración de reglas de IPsec.

Nota:

A partir de Junos OS versión 16.1, para configurar túneles de tipo vínculo (es decir, estilo próximo salto), con fines de alta disponibilidad, puede configurar interfaces lógicas de AMS como interfaces internas IPsec mediante la ipsec-inside-interface interface-name instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name from] jerarquía.

A partir de Junos OS versión 17.1, AMS admite la distribución de túnel IPSec.

Direcciones IKE en instancias VRF

Puede configurar direcciones IP de puerta de enlace de Intercambio de claves por Internet (IKE) que estén presentes en una instancia de enrutamiento y reenvío VPN (VRF) siempre que se pueda acceder al par a través de la instancia de VRF.

Para los conjuntos de servicios del salto siguiente, el proceso de administración de claves (kmd) coloca los paquetes IKE en la instancia de enrutamiento que contiene el outside-service-interface valor especificado, como en este ejemplo:

Para los conjuntos de servicios de interfaz, la service-interface instrucción determina el VRF, como en este ejemplo:

Borrar SA cuando la dirección de puerta de enlace local o MS-MPC o MS-MIC deja de funcionar

A partir de Junos OS versión 17.2R1, tou puede utilizar la instrucción para habilitar la gw-interface limpieza de desencadenadores IKE y SA IKE e IPsec cuando la dirección IP de puerta de enlace local de un túnel IPsec deja de funcionar o cuando MS-MIC o MS-MPC que se utiliza en el conjunto de servicios del túnel deja de funcionar.

El interface-name y debe coincidir con la interfaz y logical-unit-number la unidad lógica en las que está configurada la dirección IP de la puerta de enlace local.

Si la dirección IP de la puerta de enlace local para el conjunto de servicios de un túnel IPsec deja de funcionar o si el MS-MIC o MS-MPC que se utiliza en el conjunto de servicios deja de funcionar, el conjunto de servicios ya no envía desencadenadores IKE. Además, cuando la dirección IP de la puerta de enlace local deja de funcionar, las SA de IKE e IPsec se borran para los conjuntos de servicios del próximo salto y pasan al estado No instalado para los conjuntos de servicios de estilo de interfaz. Las SA que tienen el estado No instalado se eliminan cuando vuelve a aparecer la dirección IP de la puerta de enlace local.

Si la dirección IP de la puerta de enlace local que deja de funcionar para un conjunto de servicios del próximo salto es para el par del respondedor, debe borrar las SA de IKE e IPsec en el par del iniciador para que el túnel IPsec vuelva a funcionar una vez que vuelva a funcionar la dirección IP de la puerta de enlace local. Puede borrar manualmente las SA de IKE e IPsec en el par del iniciador (consulte Borrar asociaciones de seguridad ipsec-vpn ike de servicios y Borrar asociaciones de seguridad ipsec-vpn ipsec de servicios) o habilitar la detección de pares inactivos en el par del iniciador (consulte Configuración de reglas de firewall con estado).

Configuración de perfiles de acceso IKE para conjuntos de servicios IPsec

Solo para la tunelización dinámica de puntos de conexión, debe hacer referencia al perfil de acceso de IKE configurado en el nivel de [edit access] jerarquía. Para ello, incluya la ike-access-profile instrucción en el nivel jerárquico [edit services service-set service-set-name ipsec-vpn-options] :

La ike-access-profile instrucción debe hacer referencia al mismo nombre que la profile instrucción configurada para el acceso IKE en el nivel jerárquico [edit access] . Solo puede hacer referencia a un perfil de acceso en cada conjunto de servicios. Este perfil se utiliza para negociar asociaciones de seguridad de IKE e IPsec solo con pares dinámicos.

Nota:

Si configura un perfil de acceso IKE en un conjunto de servicios, ningún otro conjunto de servicios podrá compartir la misma local-gateway dirección.

Además, debe configurar un conjunto de servicios independiente para cada VRF. Todas las interfaces a las que hace referencia la ipsec-inside-interface instrucción dentro de un conjunto de servicios deben pertenecer al mismo VRF.

Configuración de entidades de certificación para conjuntos de servicios IPsec

Puede especificar una o varias entidades de certificación de confianza incluyendo la trusted-ca instrucción:

Al configurar certificados digitales de infraestructura de clave pública (PKI) en la configuración de IPsec, cada conjunto de servicios puede tener su propio conjunto de entidades de certificación de confianza. Los nombres que especifique para la instrucción deben coincidir con los perfiles configurados en el nivel jerárquico; para obtener más información, consulte la trusted-ca Biblioteca de administración de Junos OS para dispositivos de enrutamiento.[edit security pki] Para obtener más información acerca de la configuración de certificados digitales IPsec, consulte Configurar reglas IPsec.

A partir de Junos OS versión 18.2R1, puede configurar el enrutador serie MX con MS-MPC o MS-MIC para enviar sólo el certificado de entidad final para la autenticación IKE basada en certificados en lugar de la cadena de certificados completa. Esto evita la fragmentación de IKE. Para configurar esta característica, incluya la no-certificate-chain-in-ike instrucción:

Configuración o desactivación del servicio antirreproducción

Puede incluir la instrucción en el nivel de jerarquía para especificar el [edit services service-set service-set-name ipsec-vpn-options] tamaño de la anti-replay-window-size ventana de antireproducción.

Esta instrucción es útil para túneles de extremo dinámico para los que no se puede configurar la anti-replay-window-size instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Para túneles IPsec estáticos, esta instrucción establece el tamaño de ventana antirreproducción para todos los túneles estáticos de este conjunto de servicios. Si un túnel determinado necesita un valor específico para el tamaño de ventana antirreproducción, establezca la anti-replay-window-size instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía. Si es necesario deshabilitar la comprobación antireproducción para un túnel determinado de este conjunto de servicios, establezca la no-anti-replay instrucción en el nivel jerárquico [edit services ipsec-vpn rule rule-name term term-name then] .

Nota:

La anti-replay-window-size configuración y no-anti-replay en el nivel de jerarquía anula la configuración especificada en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] [edit services service-set service-set-name ipsec-vpn-options] jerarquía.

También puede incluir la instrucción en el nivel de jerarquía para deshabilitar el no-anti-replay [edit services service-set service-set-name ipsec-vpn-options] servicio antirreproducción IPsec. Ocasionalmente causa problemas de interoperabilidad para las asociaciones de seguridad.

Esta instrucción es útil para túneles de extremo dinámico para los que no se puede configurar la no-anti-reply instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Para túneles IPsec estáticos, esta instrucción deshabilita la comprobación antirreproducción para todos los túneles de este conjunto de servicios. Si es necesario habilitar la comprobación antireproducción para un túnel determinado, establezca la anti-replay-window-size instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Nota:

El establecimiento de las instrucciones y no-anti-replay en el nivel de jerarquía anula la configuración especificada en el nivel de [edit services service-set service-set-name ipsec-vpn-options] anti-replay-window-size [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Borrar el bit No fragmentar

Puede incluir la clear-dont-fragment-bit instrucción en el nivel de jerarquía para borrar el bit de no fragmentar (DF) en todos los paquetes IP versión 4 (IPv4) que entren en el [edit services service-set service-set-name ipsec-vpn-options] túnel IPsec. Si el tamaño del paquete encapsulado supera la unidad de transmisión máxima de túnel (MTU), el paquete se fragmenta antes de la encapsulación.

Esta instrucción es útil para túneles de extremo dinámico para los que no se puede configurar la clear-dont-fragment-bit instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Para los túneles IPsec estáticos, establecer esta instrucción borra el bit DF en los paquetes que entran en todos los túneles estáticos dentro de este conjunto de servicios. Si desea borrar el bit DF de los paquetes que entran en un túnel específico, establezca la clear-dont-fragment-bit instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

A partir de Junos OS versión 14.1, en los paquetes que se transmiten a través de túneles IPSec de punto de conexión dinámico, puede habilitar el valor establecido en el bit DF del paquete que entra en el túnel para que se copie sólo en el encabezado externo del paquete IPsec y para que no cause ninguna modificación en el bit DF en el encabezado interno del paquete IPsec. Si el tamaño del paquete supera el valor de la unidad de transmisión máxima de túnel (MTU), el paquete se fragmenta antes de la encapsulación. Para los túneles IPsec, el valor predeterminado de MTU es 1500, independientemente de la configuración de MTU de la interfaz. Para copiar el valor de bit DF sólo en el encabezado externo y no modificar el encabezado interno, utilice la copy-dont-fragment-bit instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía. También puede configurar el bit DF para que se establezca solo en el encabezado IPv4 externo del paquete IPsec y no se defina en el encabezado IPv4 interno. Para configurar el bit DF sólo en el encabezado externo del paquete IPsec y dejar el encabezado interno sin modificar, incluya la set-dont-fragment-bit instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía. Esta configuración se aplica a los túneles de punto de conexión dinámicos y no a los túneles estáticos, para los que debe incluir las copy-dont-fragment-bit instrucciones y set-dont-fragment-bit en el nivel de jerarquía para borrar el bit DF en los paquetes IPv4 que entran en el [edit services ipsec-vpn rule rule-name term term-name then] túnel estático. Estas funcionalidades son compatibles con los enrutadores de la serie MX con MS-MICs y MS-MPCs.

Configuración de la tunelización en modo pasivo

Puede incluir la passive-mode-tunneling instrucción en el nivel de jerarquía para permitir que el conjunto de [edit services service-set service-set-name ipsec-vpn-options] servicios tunelice paquetes con formato incorrecto.

Esta funcionalidad omite las comprobaciones de IP activas, como la versión, TTL, protocolo, opciones, dirección y otras comprobaciones de ataques terrestres, y tuneliza los paquetes tal cual. Si esta instrucción no está configurada, los paquetes que no superen las comprobaciones de IP se eliminarán en la PIC. En el modo pasivo, el paquete interno no se toca; no se genera un error ICMP si el tamaño del paquete supera el valor MTU del túnel.

El túnel IPsec no se trata como un salto siguiente y TTL no disminuye. Dado que no se genera un error ICMP si el tamaño del paquete supera el valor MTU del túnel, el paquete se tuneliza incluso si cruza el umbral MTU del túnel.

Nota:

Esta funcionalidad es similar a la proporcionada por la no-ipsec-tunnel-in-traceroute instrucción, descrita en Seguimiento de operaciones seguras del sitio de Junos VPN. A partir de Junos OS versión 14.2, la tunelización en modo pasivo se admite en MS-MIC y MS-MPC.

Nota:

A partir de Junos OS versión 14.2, la opción que se admite en MS-MIC y MS-MPC para comprobar el encabezado del paquete en busca de anomalías en la información IP, TCP, UDP e ICMP y marcar dichas anomalías y errores tiene una funcionalidad opuesta a la funcionalidad causada por la header-integrity-check tunelización en modo pasivo. Si configura tanto la instrucción como la passive-mode tunneling instrucción en MS-MICs y MS-MPCs, e intenta confirmar dicha configuración, se muestra un error durante la header-integrity-check confirmación.

La funcionalidad de tunelización en modo pasivo (mediante la inclusión de la instrucción en el nivel de jerarquía) es un superconjunto de la capacidad de deshabilitar el extremo de túnel IPsec en la salida de traceroute (mediante la inclusión no-ipsec-tunnel-in-traceroute de passive-mode-tunnelin instrucciones en el [edit services service-set service-set-name ipsec-vpn-options] [edit services ipsec-vpn] nivel de jerarquía). La tunelización en modo pasivo también omite las comprobaciones de IP activas y la comprobación de MTU de túnel, además de no tratar un túnel IPsec como un salto siguiente, tal como lo configura la no-ipsec-tunnel-in-traceroute instrucción.

Configuración del valor de MTU de túnel

Puede incluir la tunnel-mtu instrucción en el nivel de jerarquía para establecer el valor de unidad máxima de [edit services service-set service-set-name ipsec-vpn-options] transmisión (MTU) para los túneles IPsec.

Esta instrucción es útil para túneles de extremo dinámico para los que no se puede configurar la tunnel-mtu instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Para túneles IPsec estáticos, esta instrucción establece el valor MTU del túnel para todos los túneles de este conjunto de servicios. Si necesita un valor específico para un túnel determinado, establezca la tunnel-mtu instrucción en el nivel jerárquico [edit services ipsec-vpn rule rule-name term term-name then] .

Nota:

La tunnel-mtu configuración en el nivel de jerarquía reemplaza el valor especificado en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] [edit services service-set service-set-name ipsec-vpn-options] jerarquía.

Configuración del reenvío de múltiples rutas IPsec con encapsulación UDP

A partir de Junos OS versión 16.1, puede habilitar el reenvío de múltiples rutas del tráfico IPsec configurando la encapsulación UDP en el conjunto de servicios, que agrega un encabezado UDP a la encapsulación IPsec de paquetes. Esto da como resultado el reenvío de tráfico IPsec a través de varias rutas, lo que aumenta el rendimiento del tráfico IPsec. Si no habilita la encapsulación UDP, todo el tráfico IPsec sigue una única ruta de reenvío.

Cuando se detecta NAT-T, solo se produce la encapsulación UDP de NAT-T, no la encapsulación UDP para paquetes IPsec.

Para habilitar la encapsulación UDP:

  1. Habilite la encapsulación UDP.

  2. (Opcional) Especifique el número de puerto de destino UDP.

    Use un número de puerto de destino del 1025 al 65536, pero no use el 4500. Si no especifica un número de puerto, el puerto de destino predeterminado es 4565.

Solicitar e instalar certificados digitales en el enrutador

Un certificado digital es un medio electrónico para verificar su identidad a través de un tercero de confianza, conocido como autoridad de certificación (CA). Como alternativa, puede utilizar un certificado autofirmado para dar fe de su identidad. El servidor de CA que utilice puede ser propiedad y estar operado por una CA independiente o por su propia organización, en cuyo caso usted se convierte en su propia CA. Si usa una CA independiente, debe ponerse en contacto con ella para obtener las direcciones de sus servidores de CA y de lista de revocación de certificados (CRL) (para obtener certificados y CRL) y para obtener la información que necesitan al enviar solicitudes de certificados personales. Cuando usted es su propia CA, usted mismo determina esta información. La infraestructura de clave pública (PKI) proporciona una infraestructura para la administración de certificados digitales.

Solicitud de un certificado digital: proceso manual

Para obtener certificados digitales manualmente, debe configurar un perfil de CA, generar un par de claves pública y privada, crear un certificado local y cargar los certificados en el enrutador. Después de cargar los certificados, se puede hacer referencia a ellos en la configuración de IPsec-VPN.

En este procedimiento, se muestra cómo configurar un perfil de CA:

  1. Configure un perfil de CA:

    Después de confirmar esta configuración. La configuración del enrutador 2 debe contener lo siguiente:

  2. La comprobación de la lista de revocación de certificados (CRL) está habilitada de forma predeterminada. Opcionalmente, puede especificar el servidor de directorio de acceso ligero (LDAP) donde la CA almacena la CRL. El certificado suele incluir un punto de distribución de certificados (CDP), que contiene información acerca de cómo recuperar la CRL para el certificado. El enrutador utiliza esta información para descargar la CRL automáticamente. En este ejemplo, se especifica la URL LDAP, que anula la ubicación proporcionada en el certificado:

    Después de confirmar esta configuración. La configuración del enrutador 2 debe contener lo siguiente:

  3. Después de configurar el perfil de CA, solicite un certificado de CA a la CA de confianza. En este ejemplo, el certificado se inscribe en línea y se instala en el enrutador automáticamente.
    Nota:

    Si obtiene el certificado de CA directamente de la CA (por ejemplo, como datos adjuntos de correo electrónico o descarga de sitio web), puede instalarlo con el request security pki ca-certificate load comando.

  4. A continuación, debe generar un par de claves privadas y públicas para poder crear un certificado local.

    Cuando el par de claves esté disponible, genere una solicitud de certificado local y envíela a la CA para su procesamiento.

    Nota:

    Puede solicitar la creación e instalación de un certificado local en línea con el request security pki local-certificate enroll comando.

  5. La CA de confianza firma digitalmente el certificado local y se lo devuelve. Copie el archivo de certificado en el enrutador y cargue el certificado.
    Nota:

    Es posible que el nombre del archivo que le envió la CA no coincida con el nombre del identificador del certificado. Sin embargo, el nombre siempre debe coincidir con el nombre del par de claves que generó para el certificate-id enrutador.

Ejemplo: configuración dinámica de SA de IKE con certificados digitales

En este ejemplo se muestra cómo configurar SA dinámica de IKE con certificados digitales y se muestran las siguientes secciones.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Cuatro enrutadores serie M, MX o T con interfaces multiservicio instaladas en ellos.

  • Junos OS versión 9.4 o posterior.

Antes de configurar este ejemplo, debe solicitar un certificado de CA, crear un certificado local y cargar estos certificados digitales en el enrutador. Para obtener más información, consulte Solicitud e instalación de certificados digitales en el enrutador

Visión general

Una asociación de seguridad (SA) es una conexión simplex que permite que dos hosts se comuniquen de forma segura entre sí mediante IPsec. En este ejemplo se explica la configuración dinámica de SA de IKE con certificados digitales. El uso de certificados digitales proporciona seguridad adicional al túnel IKE. Con los valores predeterminados de la PIC de servicios, no es necesario configurar una propuesta o directiva de IPsec. Sin embargo, debe configurar una propuesta de IKE que especifique el uso de certificados digitales, hacer referencia a la propuesta de IKE y al certificado local en una política de IKE y aplicar el perfil de CA al conjunto de servicios.

La figura 1 muestra una topología IPsec que contiene un grupo de cuatro enrutadores. Esta configuración requiere que los enrutadores 2 y 3 establezcan un túnel IPsec basado en IKE mediante certificados digitales en lugar de claves previamente compartidas. Los enrutadores 1 y 4 proporcionan conectividad básica y se utilizan para verificar que el túnel IPsec esté operativo.

Topología

Figura 1: Diagrama de topología SA dinámica de MS PIC IKE MS PIC IKE Dynamic SA Topology Diagram

Configuración

Para configurar IKE SA dinámica con certificados digitales, realice estas tareas:

Nota:

Los tipos de interfaz que se muestran en este ejemplo son solo con fines indicativos. Por ejemplo, puede utilizar so- interfaces en lugar de ge- y sp- en lugar de ms-.

Configuración del enrutador 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 1.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar el enrutador 1 para la conectividad OSPF con el enrutador 2:

  1. Configure una interfaz Ethernet y la interfaz de circuito cerrado.

  2. Especifique el área OSPF y asocie las interfaces con el área OSPF.

  3. Configure el ID del enrutador.

  4. Confirme la configuración.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos , y show routing-options para confirmar la configuración. show protocols ospf Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Configuración del enrutador 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 2.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la conectividad OSPF y los parámetros del túnel IPsec en el enrutador 2:

  1. Configure las propiedades de la interfaz. En este paso, configurará dos interfaces Ethernet (ge-1/0/0 y ge-1/0/1), la interfaz de circuito cerrado y una interfaz multiservicios (ms-1/2/0).

  2. Especifique el área OSPF y asocie las interfaces con el área OSPF.

  3. Configure el ID del enrutador.

  4. Configure una propuesta y una política de IKE. Para habilitar una propuesta de IKE para certificados digitales, incluya la rsa-signatures instrucción en el nivel jerárquico [edit services ipsec-vpn ike proposal proposal-name authentication-method] . Para hacer referencia al certificado local en la política de IKE, incluya la local-certificate instrucción en el nivel jerárquico [edit services ipsec-vpn ike policy policy-name] . Para identificar la CA o RA en el conjunto de servicios, incluya la trusted-ca instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía.

    Nota:

    Para obtener información acerca de cómo crear e instalar certificados digitales, consulte Solicitar e instalar certificados digitales en el enrutador

  5. Configure una propuesta y una política de IPsec. Además, establezca la established-tunnels perilla en immediately.

  6. Configure una regla IPsec.

  7. Configure un conjunto de servicios de estilo de salto siguiente, especifique la dirección de puerta de enlace local y asocie la regla VPN IPsec con el conjunto de servicios.

  8. Confirme la configuración.

Resultados

Desde el modo de configuración, escriba los comandos , , show protocols ospfshow routing-optionsy show services para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración

Configuración del enrutador 3

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 3.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Nota:

Si los pares IPsec no tienen una configuración simétrica que contenga todos los componentes necesarios, no pueden establecer una relación de emparejamiento. Debe solicitar un certificado de CA, crear un certificado local, cargar estos certificados digitales en el enrutador y hacer referencia a ellos en la configuración de IPsec. Para obtener información acerca de la certificación digital, consulte Solicitar e instalar certificados digitales en el enrutador

Para configurar la conectividad OSPF y los parámetros del túnel IPsec en el enrutador 3:

  1. Configure las propiedades de la interfaz. En este paso, configurará dos interfaces Ethernet (ge-1/0/0 y ge-1/0/1), la interfaz de circuito cerrado y una interfaz multiservicio (ms-1/2/0).

  2. Especifique el área OSPF, asocie las interfaces con el área OSPF.

  3. Configure un ID de enrutador.

  4. Configure una propuesta y una política de IKE. Para habilitar una propuesta de IKE para certificados digitales, incluya la rsa-signatures instrucción en el nivel jerárquico [edit services ipsec-vpn ike proposal proposal-name authentication-method] . Para hacer referencia al certificado local en la política de IKE, incluya la local-certificate instrucción en el nivel jerárquico [edit services ipsec-vpn ike policy policy-name] . Para identificar la CA o RA en el conjunto de servicios, incluya la trusted-ca instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía.

    Nota:

    Para obtener información acerca de cómo crear e instalar certificados digitales, consulte Solicitar e instalar certificados digitales en el enrutador

  5. Configure una propuesta IPsec. Además, establezca la established-tunnels perilla en immediately.

  6. Configure una regla IPsec.

  7. Configure un conjunto de servicios de estilo de salto siguiente, especifique la dirección de puerta de enlace local y asocie la regla VPN IPsec con el conjunto de servicios.

  8. Confirme la configuración.

Resultados

Desde el modo de configuración, escriba los comandos , , show protocols ospfshow routing-optionsy show services para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración

Configuración del enrutador 4

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 4.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la conectividad OSPF con el enrutador 4

  1. Configure las interfaces. En este paso, configurará una interfaz Ethernet (ge-1/0/1) y la interfaz de circuito cerrado.

  2. Especifique el área OSPF y asocie las interfaces con el área OSPF.

  3. Configure el ID del enrutador.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos , y show routing-options para confirmar la configuración. show protocols ospf Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración

Verificación

Verificación de su trabajo en el enrutador 1

Propósito

En el enrutador 1, verifique el comando ping a la interfaz so-0/0/0 en el enrutador 4 para enviar tráfico a través del túnel IPsec.

Acción

En el modo operativo, escriba ping 10.1.56.2.

Si hace ping a la dirección de circuito cerrado del enrutador 4, la operación se realiza correctamente porque la dirección forma parte de la red OSPF configurada en el enrutador 4.

Verificación de su trabajo en el enrutador 2

Propósito

Para comprobar que el tráfico coincidente se está desviando al túnel IPsec bidireccional, vea las estadísticas de IPsec:

Acción

Desde el modo operativo, introduzca el show services ipsec-vpn ipsec statisticsarchivo .

Para comprobar que la negociación de SA de IKE se ha realizado correctamente, ejecute el show services ipsec-vpn ike security-associations comando:

Desde el modo operativo, escriba el icono show services ipsec-vpn ike security-associations

Para comprobar que la asociación de seguridad IPsec está activa, ejecute el show services ipsec-vpn ipsec security-associations detail comando. Observe que la SA contiene la configuración predeterminada inherente a la PIC de servicios, como ESP para el protocolo y HMAC-SHA1-96 para el algoritmo de autenticación.

Desde el modo operativo, escriba el icono show services ipsec-vpn ipsec security-associations detail

Para mostrar los certificados digitales que se usan para establecer el túnel IPsec, emita el comando mostrar certificados ipsec-vpn de servicios:

Desde el modo operativo, escriba el icono show services ipsec-vpn certificates

Para mostrar el certificado de CA, emita el comando show security pki ca-certificate detail. Tenga en cuenta que hay tres certificados independientes: uno para la firma de certificados, uno para el cifrado de claves y otro para la firma digital de la CA.

Desde el modo operativo, escriba el icono show security pki ca-certificate detail

Para mostrar la solicitud de certificado local, emita el comando show security pki certificate-request:

Desde el modo operativo, escriba el icono show security pki certificate-request

Para mostrar el certificado local, emita el comando show security pki local-certificate:

Desde el modo operativo, escriba el icono show security pki local-certificate

Verificación de su trabajo en el enrutador 3

Propósito

Para comprobar que el tráfico coincidente se está desviando al túnel IPsec bidireccional, vea las estadísticas de IPsec:

Acción

Desde el modo operativo, introduzca el show services ipsec-vpn ipsec statisticsarchivo .

Para comprobar que la negociación de SA de IKE se realiza correctamente, emita el comando show services ipsec-vpn ike security-associations. Para que se realice correctamente, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Desde el modo operativo, introduzca el show services ipsec-vpn ike security-associationsarchivo .

Para comprobar que la SA de IPsec está activa, ejecute el comando show services ipsec-vpn ipsec security-associations. Para que se realice correctamente, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Desde el modo operativo, introduzca el show services ipsec-vpn ipsec security-associations detailarchivo .

Para mostrar los certificados digitales que se usan para establecer el túnel IPsec, emita el comando mostrar certificados ipsec-vpn de servicios:

Desde el modo operativo, introduzca el show services ipsec-vpn certificatesarchivo .

Para mostrar el certificado de CA, emita el comando show security pki ca-certificate detail. Tenga en cuenta que hay tres certificados independientes: uno para la firma de certificados, uno para el cifrado de claves y otro para la firma digital de la CA.

Desde el modo operativo, introduzca el show security pki ca-certificate detailarchivo .

Para mostrar la solicitud de certificado local, emita el comando show security pki certificate-request:

Desde el modo operativo, introduzca el show security pki certificate-requestarchivo .

Para mostrar el certificado local, emita el comando show security pki local-certificate:

Desde el modo operativo, introduzca el show security pki local-certificatearchivo .

Verificación de su trabajo en el enrutador 4

Propósito

En el enrutador 4, emita un comando ping a la interfaz so-0/0/0 del enrutador 1 para enviar tráfico a través del túnel IPsec.

Acción

En el modo operativo, escriba ping 10.1.12.2.

La última forma de confirmar que el tráfico viaja a través del túnel IPsec es emitiendo el comando traceroute a la interfaz so-0/0/0 en el enrutador 1. Tenga en cuenta que no se hace referencia a la interfaz física entre los enrutadores 2 y 3 en la ruta; el tráfico entra en el túnel IPsec a través de la interfaz IPsec interna de servicios adaptables del enrutador 3, pasa a través de la interfaz de circuito cerrado del enrutador 2 y termina en la interfaz so-0/0/0 del enrutador 1.

Desde el modo operativo, introduzca el traceroute 10.1.12.2archivo .

Configuración de Junos VPN Site Secure o IPSec VPN

La VPN IPsec es compatible con todos los enrutadores de la serie MX con MS-MIC, MS-MPC o MS-DPC.

En los enrutadores serie M y T, VPN IPsec es compatible con Multiservicios 100 PIC, Multiservicios 400 PIC y Multiservicios 500 PIC.

Las MS-MIC y MS-MPC son compatibles con Junos OS versión 13.2 y posteriores. Las MS-MIC Y MS-MPC admiten todas las características compatibles con MS-DPC y MS-PIC, excepto el protocolo de encabezado de autenticación (ah), el protocolo de carga de seguridad encapsulada (ESP) y el protocolo de paquete (protocolo AH y ESP) para una asociación de seguridad dinámica o manual y un servicio IPsec sin flujo.

NAT transversal (NAT-T) es compatible con IKEv1 e IKEv2 desde Junos OS versión 17.4R1 en adelante. NAT-T está habilitado de forma predeterminada. Puede especificar la encapsulación y desencapsulación UDP para paquetes IKE y ESP mediante la configuración disable-natt en los niveles de [edit services ipsec-vpn] jerarquía.

Ejemplo: configuración de Junos VPN Site Secure en MS-MIC y MS-MPC

Nota:

Puede seguir el mismo procedimiento y usar la misma configuración indicada en este ejemplo para configurar Junos VPN Site Secure (anteriormente conocidas como características IPsec) en MS-MPC.

Este ejemplo contiene las siguientes secciones:

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos enrutadores serie MX con MS-MICs

  • Junos OS versión 13.2 o posterior

Visión general

Junos OS versión 13.2 amplía la compatibilidad con Junos VPN Site Secure (anteriormente conocidas como funciones IPsec) a los recién introducidos multiservicios MIC y MPC (MS-MIC y MS-MPC) en enrutadores serie MX. Los paquetes del proveedor de extensiones de Junos OS vienen preinstalados y preconfigurados en MS-MIC y MS-MPC.

Las siguientes características de Junos VPN Site Secure son compatibles con MS-MIC y MS-MPC en la versión 13.2:

  • Puntos finales dinámicos (DEP)

  • Protocolo de carga de seguridad de encapsulación (ESP)

  • Mensajes desencadenantes de detección de pares muertos (DPD)

  • Notificaciones de rollover de número de secuencia

  • Túneles IPsec estáticos con conjuntos de servicios de estilo de siguiente salto e interfaz

Sin embargo, en Junos OS versión 13.2, la compatibilidad de Junos VPN Site Secure en MS-MIC y MS-MPC se limita al tráfico IPv4. La tunelización pasiva de módulos no se admite en MS-MICs y MS-MPCs.

La figura 2 muestra la topología del túnel VPN IPsec.

Figura 2: Topología de túnel IPsec VPN Tunnel Topology VPN IPsec

En este ejemplo se muestra la configuración de dos enrutadores, el enrutador 1 y el enrutador 2, que tienen un túnel VPN IPsec configurado entre ellos.

Al configurar los enrutadores, tenga en cuenta los siguientes puntos:

  • La dirección IP que configure en el nivel de jerarquía del enrutador 1 debe ser la misma que la dirección IP para la que configure en la misma jerarquía en source-address destination-address el [edit services ipsec-vpn rule name term term from] enrutador 2, y viceversa.

  • La dirección IP del que configure en el nivel de jerarquía debe coincidir con la dirección IP del que configure en el [edit services service-set name ipsec-vpn-options] [edit services ipsec-vpn rule name term term then] nivel de jerarquía del remote-gateway local-gateway enrutador 2, y viceversa.

Configuración

Esta sección contiene:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Configuración de interfaces en el enrutador 1

Configuración del servicio VPN IPsec en el enrutador 1

Configuración de un conjunto de servicios en el enrutador 1

Configuración de las opciones de enrutamiento en el enrutador 1

Configuración de interfaces en el enrutador 2

Configuración del servicio VPN IPsec en el enrutador 2

Configuración de un conjunto de servicios en el enrutador 2

Configuración de las opciones de enrutamiento en el enrutador 2

Configuración del enrutador 1

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Nota:

A partir de la versión 13.2, los paquetes del proveedor de extensiones de Junos OS vienen preinstalados en las MIC y MPC de varios servicios (MS-MIC y MS-MPC). La adaptive-services configuración en el nivel de [edit chassis fpc number pic number] jerarquía está preconfigurada en estas tarjetas.

  1. Configure las propiedades de la interfaz, como familia, dominio de servicio y unidad.

  2. Configure las propiedades de IPsec, como la dirección, la puerta de enlace remota, las directivas, la dirección de coincidencia, el protocolo, el tamaño de la ventana de reproducción, los detalles del algoritmo, las claves de secreto, la propuesta, el método de autenticación, los grupos y la versión.

  3. Configure un conjunto de servicios, las opciones y reglas de ipsec-vpn.

  4. Configure las opciones de enrutamiento, ruta estática y próximo salto.

Resultados

Desde el modo de configuración del enrutador 1, confirme la configuración introduciendo los show interfacescomandos , show services ipsec-vpny show services service-set . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Configuración del enrutador 2

Procedimiento paso a paso
  1. Configure las propiedades de la interfaz, como familia, dominio de servicio y unidad.

  2. Configure las propiedades de IPsec, como la dirección, la puerta de enlace remota, las directivas, la dirección de coincidencia, el protocolo, el tamaño de la ventana de reproducción, los detalles del algoritmo, las claves de secreto, la propuesta, el método de autenticación, los grupos y la versión.

  3. Configure un conjunto de servicios como next-hop-service y ipsec-vpn-options.

  4. Configure las opciones de enrutamiento, ruta estática y el siguiente salto.

Resultados

Desde el modo de configuración del enrutador 2, introduzca los comandos , y show services service-set para confirmar show interfacesla configuración. show services ipsec-vpn Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Verificación

Verificación de la creación de túneles

Propósito

Compruebe que se han creado puntos finales dinámicos.

Acción

Ejecute el siguiente comando en el enrutador 1:

Significado

El resultado muestra que las SA IPSec están activas en el enrutador con su estado como Instalado. El túnel IPSec está activo y listo para enviar tráfico a través del túnel.

Comprobación del flujo de tráfico a través del túnel DEP

Propósito

Compruebe el flujo de tráfico a través del túnel DEP recién creado.

Acción

Ejecute el siguiente comando en el enrutador 2:

Comprobación de asociaciones de seguridad IPsec para el conjunto de servicios

Propósito

Compruebe que las asociaciones de seguridad configuradas para el conjunto de servicios funcionan correctamente.

Acción

Ejecute el siguiente comando en el enrutador 2:

Ejemplo: configuración de túneles IPsec asignados estáticamente a través de una instancia de VRF

En este ejemplo se muestra cómo configurar un túnel IPsec asignado estáticamente a través de una instancia de VRF y se muestran las siguientes secciones:

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Enrutador serie M, MX o serie T que está configurado como enrutador perimetral de proveedor.

  • Junos OS versión 9.4 y posteriores.

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.

Visión general

Junos OS permite configurar túneles IPsec asignados estáticamente en instancias de enrutamiento y reenvío virtual (VRF). La capacidad de configurar túneles IPsec en instancias VRF mejora la segmentación y la seguridad de la red. Puede tener varios túneles de cliente configurados en el mismo enrutador PE a través de instancias VRF. Cada instancia de VRF actúa como enrutador lógico con una tabla de enrutamiento exclusiva.

Configuración

En este ejemplo se muestra la configuración de un túnel IPsec a través de una instancia de VRF en un enrutador perimetral de proveedor y se proporcionan instrucciones paso a paso para completar la configuración necesaria.

Esta sección contiene:

Configuración del enrutador perimetral del proveedor

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar un túnel IPsec asignado estáticamente en una instancia de VRF:

  1. Configure las interfaces. En este paso, configurará dos interfaces Ethernet (), una interfaz de servicios (gems-) y también las propiedades de dominio de servicio para las interfaces lógicas de la interfaz de servicios. Tenga en cuenta que la interfaz lógica marcada como interfaz interna aplica el servicio configurado en el tráfico, mientras que la que está marcada como interfaz externa actúa como punto de salida para el tráfico en el que la interfaz interna ha aplicado el servicio.

  2. Configure una política de enrutamiento para especificar los criterios de importación y exportación de rutas para la instancia de VRF. Se hace referencia a las políticas de importación y exportación definidas en este paso desde la configuración de la instancia de enrutamiento en el siguiente paso.

  3. Configure una instancia de enrutamiento y especifique el tipo de instancia de enrutamiento como vrf. Aplique las directivas de importación y exportación definidas en el paso anterior a la instancia de enrutamiento y especifique una ruta estática para enviar el tráfico IPsec a la interfaz interna (ms-1/2/0.1) configurada en el primer paso.

  4. Configure las propuestas y políticas de IKE e IPsec, y una regla para aplicar la política de IKE al tráfico entrante.

    Nota:

    De forma predeterminada, Junos OS utiliza la versión 1.0 de la política IKE. Junos OS versión 11.4 y posteriores también admiten la versión 2.0 de la directiva IKE, que debe configurar en [edit services ipsec-vpn ike policy policy-name pre-shared].

  5. Configure un conjunto de servicios de estilo de salto siguiente. Tenga en cuenta que debe configurar las interfaces interna y externa que configuró en el primer paso como y inside-service-interface outside-service-interface respectivamente.

  6. Confirme la configuración.

Resultados

Desde el modo de configuración del enrutador 1, confirme la configuración introduciendo los show interfacescomandos , , show routing-instancesshow services ipsec-vpn, show policy-optionsy show services service-set . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Ejemplo multitarea: configuración de servicios IPsec

Las siguientes instrucciones basadas en ejemplos muestran cómo configurar los servicios IPsec. La configuración implica la definición de una política de IKE, una política de IPsec, reglas de IPsec, opciones de seguimiento y conjuntos de servicios.

En este tema se incluyen las siguientes tareas:

Configuración de la propuesta de IKE

La configuración de la propuesta de IKE define los algoritmos y las claves utilizados para establecer la conexión IKE segura con la puerta de enlace de seguridad del mismo nivel. Para obtener más información acerca de las propuestas de IKE, consulte Configuración de propuestas de IKE.

Para definir la propuesta de IKE:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure el método de autenticación, que se encuentra pre-shared keys en este ejemplo:
  3. Configure el grupo Diffie-Hellman y especifique un nombre, por ejemplo, group1:
  4. Configure el algoritmo de autenticación, que se encuentra sha1 en este ejemplo:
  5. Configure el algoritmo de cifrado, que se encuentra aes-256-cbc en este ejemplo:

El siguiente resultado de ejemplo muestra la configuración de la propuesta de IKE:

Configuración de la política de IKE (y referencia a la propuesta de ICR)

La configuración de políticas de IKE define la propuesta, el modo, las direcciones y otros parámetros de seguridad utilizados durante la negociación de IKE. Para obtener más información acerca de las políticas de IKE, consulte Configuración de directivas de IKE.

Para definir la política de IKE y hacer referencia a la propuesta de IKE:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure el modo de primera fase de IKE, por ejemplo: main
  3. Configure la propuesta, que se encuentra test-IKE-proposal en este ejemplo:
  4. Configure la identificación local con una dirección IPv4, por ejemplo: 192.168.255.2
  5. Configure la clave previamente compartida en formato de texto ASCII, que se encuentra TEST en este ejemplo:

El siguiente resultado de ejemplo muestra la configuración de la política de IKE:

Configuración de la propuesta IPsec

La configuración de propuesta de IPsec define los protocolos y algoritmos (servicios de seguridad) necesarios para negociar con el par IPsec remoto. Para obtener más información acerca de las propuestas de IPsec, consulte Configuración de propuestas de IPsec.

Para definir la propuesta IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure el protocolo IPsec para la propuesta, por ejemplo: esp
  3. Configure el algoritmo de autenticación para la propuesta, que se encuentra hmac-sha1-96 en este ejemplo:
  4. Configure el algoritmo de cifrado para la propuesta, que se encuentra aes-256-cbc en este ejemplo:

El siguiente resultado de ejemplo muestra la configuración de la propuesta IPsec:

Configuración de la directiva IPsec (y referencia a la propuesta IPsec)

La configuración de directiva IPsec define una combinación de parámetros de seguridad (propuestas IPsec) que se usan durante la negociación de IPsec. Define PFS y las propuestas necesarias para la conexión. Para obtener más información acerca de las directivas IPsec, consulte Configuración de directivas IPsec.

Para definir la directiva IPsec y hacer referencia a la propuesta IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure las claves para una confidencialidad directa perfecta en la directiva IPsec, por ejemplo: group1
  3. Configure un conjunto de propuestas IPsec en la directiva IPsec, por ejemplo: test-IPsec-proposal

El siguiente resultado de ejemplo muestra la configuración de la directiva IPsec:

Configuración de la regla IPsec (y referencia a las directivas IKE e IPsec)

La configuración de la regla IPsec define la dirección que especifica si la coincidencia se aplica en el lado de entrada o de salida de la interfaz. La configuración también consta de un conjunto de términos que especifican las condiciones de coincidencia y las aplicaciones que se incluyen y excluyen y también especifican las acciones y los modificadores de acciones que debe realizar el software del enrutador. Para obtener más información acerca de las reglas IPsec, consulte Configurar reglas IPsec.

Para definir la regla IPsec y hacer referencia a las políticas de IKE e IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure la dirección de destino IP para el término IPsec en la regla IPsec, por ejemplo: 192.168.255.2/32
  3. Configure la dirección de puerta de enlace remota para el término IPsec en la regla IPsec, por ejemplo: 0.0.0.0
  4. Configure una asociación de seguridad dinámica para la directiva IKE para el término IPsec en la regla IPsec, que se encuentra test-IKE-policy en este ejemplo:
  5. Configure una asociación de seguridad dinámica para la propuesta de IKE para el término IPsec en la regla IPsec, que se encuentra test-IPsec-proposal en este ejemplo:
  6. Configure una dirección para la que se aplique la coincidencia de regla en la regla IPsec, por ejemplo: input

El siguiente resultado de ejemplo muestra la configuración de la regla IPsec:

Configuración de las opciones de seguimiento de IPsec

La configuración de opciones de seguimiento de IPsec realiza un seguimiento de los eventos IPsec y los registra en un archivo de registro en el directorio / var/log . De forma predeterminada, este archivo se denomina / var/log/kmd. Para obtener más información acerca de las reglas IPsec, consulte Seguimiento de operaciones seguras de sitio de Junos VPN.

Para definir las opciones de seguimiento de IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure el archivo de seguimiento, que se encuentra ipsec.log en este ejemplo:
  3. Configure todos los parámetros de seguimiento con la opción all de este ejemplo:

La siguiente salida de ejemplo muestra la configuración de las opciones de seguimiento de IPsec:

Configuración del perfil de acceso (y referencia a las políticas IKE e IPsec)

La configuración del perfil de acceso define el perfil de acceso y hace referencia a las políticas de IKE e IPsec. Para obtener más información sobre el perfil de acceso, consulte Configuración de un perfil de acceso IKE.

Para definir el perfil de acceso y hacer referencia a las políticas de IKE e IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure la lista de pares de identidad de proxy local y remoto con la allowed-proxy-pair opción. En este ejemplo, 10.0.0.0/24 es la dirección IP para la identidad del proxy local y 10.0.1.0/24 es la dirección IP para la identidad del proxy remoto:
  3. Configure la política de ICR, por ejemplo: test-IKE-policy
  4. Configure la directiva IPsec, por ejemplo: test-IPsec-policy
  5. Configure la identidad del grupo de interfaces de servicio lógico, que se encuentra TEST-intf en este ejemplo:

El siguiente resultado de ejemplo muestra la configuración del perfil de acceso:

Configuración del conjunto de servicios (y referencia al perfil de IKE y a la regla IPsec)

La configuración del conjunto de servicios define conjuntos de servicios IPsec que requieren especificaciones adicionales y hace referencia al perfil IKE y a la regla IPsec. Para obtener más información acerca de los conjuntos de servicios IPsec, consulte Configurar conjuntos de servicios IPsec.

Para definir la configuración del conjunto de servicios con los conjuntos de servicios del próximo salto y las opciones de VPN IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure un conjunto de servicios con parámetros para las interfaces de servicio del próximo salto para la red interna, por ejemplo: sp-1/2/0.1
  3. Configure un conjunto de servicios con parámetros para las interfaces de servicio del próximo salto para la red externa, por ejemplo, sp-1/2/0.2:
  4. Configure las opciones de VPN IPsec con la dirección y la instancia de enrutamiento de la puerta de enlace local, por ejemplo: 192.168.255.2
  5. Configure las opciones de VPN IPsec con el perfil de acceso IKE para pares dinámicos, que se encuentra IKE-profile-TEST en este ejemplo:
  6. Configure un conjunto de servicios con reglas VPN IPsec, que se encuentra test-IPsec-rule en este ejemplo:

El siguiente resultado de ejemplo muestra la configuración del conjunto de servicios que hace referencia al perfil de IKE y a la regla IPsec:

Deshabilitar NAT-T en enrutadores de la serie MX para manejar NAT con paquetes protegidos por IPsec

Antes de Junos OS versión 17.4R1, la traslación de direcciones de red (NAT-T) no era compatible con el conjunto de funciones IPsec de Junos VPN Site Secure en los enrutadores de la serie MX. De forma predeterminada, Junos OS detecta si alguno de los túneles IPsec está detrás de un dispositivo NAT y cambia automáticamente al uso de NAT-T para el tráfico protegido. Para evitar ejecutar NAT-T no compatible en versiones de Junos OS anteriores a 17.4R1, debe deshabilitar NAT-T incluyendo la disable-natt instrucción en el nivel de [edit services ipsec-vpn] jerarquía. Cuando se deshabilita NAT-T, la funcionalidad NAT-T se desactiva globalmente. Cuando se deshabilita NAT-T y hay un dispositivo NAT presente entre las dos puertas de enlace IPsec, los mensajes ISAKMP se negocian mediante el puerto UDP 500 y los paquetes de datos se encapsulan con carga de seguridad de encapsulación (ESP).

Network Address Translation-Traversal (NAT-T) es un método para evitar los problemas de traducción de direcciones IP que se producen cuando los datos protegidos por IPsec pasan a través de un dispositivo NAT para la traducción de direcciones. Cualquier cambio en el direccionamiento IP, que es la función de NAT, hace que IKE descarte paquetes. Después de detectar uno o más dispositivos NAT a lo largo de la ruta de datos durante los intercambios de fase 1, NAT-T agrega una capa de encapsulación del Protocolo de datagramas de usuario (UDP) a los paquetes IPsec para que no se descarten después de la traducción de direcciones. NAT-T encapsula el tráfico IKE y ESP dentro de UDP con el puerto 4500 utilizado como puerto de origen y destino. Debido a que los dispositivos NAT caducan las traducciones UDP obsoletas, se requieren mensajes keepalive entre los pares.

La ubicación de un dispositivo NAT puede ser tal que:

  • Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo NAT. Múltiples iniciadores pueden estar detrás de dispositivos NAT separados. Los iniciadores también pueden conectarse al respondedor a través de varios dispositivos NAT.

  • Solo el respondedor IKEv1 o IKEv2 está detrás de un dispositivo NAT.

  • Tanto el iniciador IKEv1 o IKEv2 como el respondedor están detrás de un dispositivo NAT.

La VPN de punto de conexión dinámica cubre la situación en la que la dirección externa del IKE del iniciador no es fija y, por lo tanto, el respondedor no la conoce. Esto puede ocurrir cuando un ISP asigna dinámicamente la dirección del iniciador o cuando la conexión del iniciador cruza un dispositivo NAT dinámico que asigna direcciones de un grupo de direcciones dinámicas.

Se proporcionan ejemplos de configuración para NAT-T para la topología en la que solo el respondedor está detrás de un dispositivo NAT y la topología en la que tanto el iniciador como el respondedor están detrás de un dispositivo NAT. La configuración de puerta de enlace IKE de sitio a sitio para NAT-T es compatible tanto con el iniciador como con el respondedor. Un ID de IKE remoto se utiliza para validar el ID de IKE local de un par durante la fase 1 de la negociación del túnel de IKE. Tanto el iniciador como el respondedor requieren una cadena de identidad local y una cadena de identidad remota.

Rastreo de operaciones seguras del sitio de Junos VPN

Nota:

Junos VPN Site Secure es un conjunto de características IPsec compatibles con tarjetas de línea multiservicios (MS-DPC, MS-MPC y MS-MIC) y anteriormente se denominaba servicios IPsec.

Las operaciones de seguimiento rastrean eventos IPsec y los registran en un archivo de registro en el /var/log directorio. De forma predeterminada, este archivo se denomina /var/log/kmd.

Para realizar un seguimiento de las operaciones IPsec, incluya la traceoptions instrucción en el nivel de [edit services ipsec-vpn] jerarquía:

Puede especificar los siguientes indicadores de seguimiento IPsec:

  • all—Rastrea todo.

  • certificates: rastrea eventos de certificados.

  • database: rastrea eventos de bases de datos de asociaciones de seguridad.

  • general—Realizar un seguimiento de eventos generales.

  • ike—Seguimiento del procesamiento del módulo IKE.

  • parse—Procesamiento de la configuración de trazas.

  • policy-manager—Procesamiento del gestor de políticas de seguimiento.

  • routing-socket: Mensajes de socket de enrutamiento de seguimiento.

  • snmp: rastrea las operaciones SNMP.

  • timer: realiza un seguimiento de los eventos del temporizador interno.

La level instrucción establece el nivel de seguimiento del proceso de administración de claves (kmd). Se admiten los siguientes valores:

  • all—Combina todos los niveles.

  • error—Coincide con las condiciones de error.

  • info–Hacer coincidir los mensajes informativos.

  • notice—Condiciones de coincidencia que deben manejarse especialmente.

  • verbose: hace coincidir mensajes detallados.

  • warning: coincide con los mensajes de advertencia.

Esta sección incluye los siguientes temas:

Deshabilitar el extremo de túnel IPsec en Traceroute

Si incluye la no-ipsec-tunnel-in-traceroute instrucción en el nivel de jerarquía, el túnel IPsec no se trata como un salto siguiente y el tiempo de [edit services ipsec-vpn] vida (TTL) no disminuye. Además, si el TTL llega a cero, no se genera un mensaje ICMP en el tiempo excedido.

Nota:

Esta funcionalidad también viene proporcionada por la passive-mode-tunneling instrucción. Puede utilizar la instrucción en escenarios específicos en los que el túnel IPsec no debe tratarse como un salto siguiente y no se desea el no-ipsec-tunnel-in-traceroute modo pasivo.

Seguimiento de operaciones PKI IPsec

Las operaciones de seguimiento rastrean los eventos PKI de IPsec y los registran en un archivo de registro en el /var/log directorio. De forma predeterminada, este archivo se denomina /var/log/pkid.

Para realizar un seguimiento de las operaciones de PKI IPsec, incluya la traceoptions instrucción en el nivel de [edit security pki] jerarquía:

Puede especificar los siguientes indicadores de seguimiento de PKI:

  • all—Rastrea todo.

  • certificates: rastrea eventos de certificados.

  • database: rastrea eventos de bases de datos de asociaciones de seguridad.

  • general—Realizar un seguimiento de eventos generales.

  • ike—Seguimiento del procesamiento del módulo IKE.

  • parse—Procesamiento de la configuración de trazas.

  • policy-manager—Procesamiento del gestor de políticas de seguimiento.

  • routing-socket: Mensajes de socket de enrutamiento de seguimiento.

  • snmp: rastrea las operaciones SNMP.

  • timer: realiza un seguimiento de los eventos del temporizador interno.

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.2R1
A partir de Junos OS versión 18.2R1, puede configurar el enrutador serie MX con MS-MPC o MS-MIC para enviar sólo el certificado de entidad final para la autenticación IKE basada en certificados en lugar de la cadena de certificados completa.
17.2R1
A partir de Junos OS versión 17.2R1, tou puede utilizar la instrucción para habilitar la gw-interface limpieza de desencadenadores IKE y SA IKE e IPsec cuando la dirección IP de puerta de enlace local de un túnel IPsec deja de funcionar o cuando MS-MIC o MS-MPC que se utiliza en el conjunto de servicios del túnel deja de funcionar.
17.1
A partir de Junos OS versión 17.1, AMS admite la distribución de túnel IPSec
16.1
A partir de Junos OS versión 16.1, para configurar túneles de tipo vínculo (es decir, estilo próximo salto), con fines de alta disponibilidad, puede configurar interfaces lógicas de AMS como interfaces internas IPsec mediante la ipsec-inside-interface interface-name instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name from] jerarquía.
16.1
A partir de Junos OS versión 16.1, puede habilitar el reenvío de múltiples rutas del tráfico IPsec configurando la encapsulación UDP en el conjunto de servicios, que agrega un encabezado UDP a la encapsulación IPsec de paquetes.
14.2
A partir de Junos OS versión 14.2, la tunelización en modo pasivo se admite en MS-MIC y MS-MPC.
14.2
A partir de Junos OS versión 14.2, la opción que se admite en MS-MIC y MS-MPC para comprobar el encabezado del paquete en busca de anomalías en la información IP, TCP, UDP e ICMP y marcar dichas anomalías y errores tiene una funcionalidad opuesta a la funcionalidad causada por la header-integrity-check tunelización en modo pasivo.
14.1
A partir de Junos OS versión 14.1, en los paquetes que se transmiten a través de túneles IPSec de punto de conexión dinámico, puede habilitar el valor establecido en el bit DF del paquete que entra en el túnel para que se copie sólo en el encabezado externo del paquete IPsec y para que no cause ninguna modificación en el bit DF en el encabezado interno del paquete IPsec.