EN ESTA PÁGINA
Ejemplo: configuración dinámica de SA de IKE con certificados digitales
Ejemplo: configuración de Junos VPN Site Secure en MS-MIC y MS-MPC
Ejemplo: configuración de túneles IPsec asignados estáticamente a través de una instancia de VRF
Deshabilitar NAT-T en enrutadores de la serie MX para manejar NAT con paquetes protegidos por IPsec
Conjuntos de servicios para túneles IPsec de punto de conexión estático
Conjuntos de servicios
El PIC de Adaptive Services admite dos tipos de conjuntos de servicios al configurar túneles IPSec. Dado que se utilizan para diferentes propósitos, es importante conocer las diferencias entre estos tipos de conjuntos de servicios.
Conjunto de servicios del próximo salto: admite protocolos de enrutamiento dinámico de multidifusión y de estilo multidifusión (como OSPF) a través de IPSec. Los conjuntos de servicios del próximo salto permiten usar interfaces lógicas internas y externas en la PIC de Adaptive Services para conectarse con varias instancias de enrutamiento. También permiten el uso de la traducción de direcciones de red (NAT) y capacidades de firewall con estado. Sin embargo, los conjuntos de servicios del próximo salto no supervisan el tráfico del motor de enrutamiento de forma predeterminada y requieren la configuración de varios conjuntos de servicios para admitir el tráfico de varias interfaces.
Conjunto de servicios de interfaz: se aplica a una interfaz física y es similar a un filtro de firewall sin estado. Son fáciles de configurar, pueden admitir tráfico de múltiples interfaces y pueden monitorear el tráfico del motor de enrutamiento de forma predeterminada. Sin embargo, no pueden admitir protocolos de enrutamiento dinámico ni tráfico de multidifusión a través del túnel IPSec.
En general, se recomienda usar conjuntos de servicios del próximo salto porque admiten protocolos de enrutamiento y multidifusión a través del túnel IPSec, son más fáciles de entender y la tabla de enrutamiento toma decisiones de reenvío sin intervención administrativa.
Ver también
Configuración de conjuntos de servicios IPsec
Los conjuntos de servicios IPsec requieren especificaciones adicionales que se configuran en el nivel de [edit services service-set service-set-name ipsec-vpn-options]
jerarquía:
[edit services service-set service-set-name ipsec-vpn-options] anti-replay-window-size bits; clear-dont-fragment-bit; copy-dont-fragment-bit set-dont-fragment-bit ike-access-profile profile-name; local-gateway address <gw-interface interface-name.logical-unit-number>; no-anti-replay; no-certificate-chain-in-ike; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes;
La configuración de estas instrucciones se describe en las secciones siguientes:
- Configuración de la dirección de puerta de enlace local para conjuntos de servicios IPsec
- Configuración de perfiles de acceso IKE para conjuntos de servicios IPsec
- Configuración de entidades de certificación para conjuntos de servicios IPsec
- Configuración o desactivación del servicio antirreproducción
- Borrar el bit No fragmentar
- Configuración de la tunelización en modo pasivo
- Configuración del valor de MTU de túnel
- Configuración del reenvío de múltiples rutas IPsec con encapsulación UDP
Configuración de la dirección de puerta de enlace local para conjuntos de servicios IPsec
Si configura un conjunto de servicios IPsec, también debe configurar una dirección IPv4 o IPv6 local incluyendo la local-gateway
instrucción:
Si la dirección IP de la puerta de enlace de intercambio de claves por Internet (IKE) está en inet.0 (la situación predeterminada), configure la instrucción siguiente:
local-gateway address;
Si la dirección IP de la puerta de enlace de IKE se encuentra en una instancia de enrutamiento y reenvío VPN (VRF), configure la instrucción siguiente:
local-gateway address routing-instance instance-name;
Puede configurar todos los túneles de tipo vínculo que comparten la misma dirección de puerta de enlace local en un único conjunto de servicios de estilo próximo salto. Debe especificar un valor para la inside-service-interface
instrucción en el nivel de jerarquía que coincida con el valor que configure en el ipsec-inside-interface
nivel de [edit services service-set service-set-name]
[edit services ipsec-vpn rule rule-name term term-name from]
jerarquía. Para obtener más información acerca de la configuración de IPsec, consulte Configuración de reglas de IPsec.
A partir de Junos OS versión 16.1, para configurar túneles de tipo vínculo (es decir, estilo próximo salto), con fines de alta disponibilidad, puede configurar interfaces lógicas de AMS como interfaces internas IPsec mediante la ipsec-inside-interface interface-name
instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name from]
jerarquía.
A partir de Junos OS versión 17.1, AMS admite la distribución de túnel IPSec.
- Direcciones IKE en instancias VRF
- Borrar SA cuando la dirección de puerta de enlace local o MS-MPC o MS-MIC deja de funcionar
Direcciones IKE en instancias VRF
Puede configurar direcciones IP de puerta de enlace de Intercambio de claves por Internet (IKE) que estén presentes en una instancia de enrutamiento y reenvío VPN (VRF) siempre que se pueda acceder al par a través de la instancia de VRF.
Para los conjuntos de servicios del salto siguiente, el proceso de administración de claves (kmd) coloca los paquetes IKE en la instancia de enrutamiento que contiene el outside-service-interface
valor especificado, como en este ejemplo:
routing-instances vrf-nxthop { instance-type vrf; interface sp-1/1/0.2; ... } services service-set service-set-1 { next-hop-service { inside-service-interface sp-1/1/0.1; outside-service-interface sp-1/1/0.2; } ... }
Para los conjuntos de servicios de interfaz, la service-interface
instrucción determina el VRF, como en este ejemplo:
routing-instances vrf-intf { instance-type vrf; interface sp-1/1/0.3; interface ge-1/2/0.1; # interface on which service set is applied ... } services service-set service-set-2 { interface-service { service-interface sp-1/1/0.3; } ... }
Borrar SA cuando la dirección de puerta de enlace local o MS-MPC o MS-MIC deja de funcionar
A partir de Junos OS versión 17.2R1, tou puede utilizar la instrucción para habilitar la gw-interface
limpieza de desencadenadores IKE y SA IKE e IPsec cuando la dirección IP de puerta de enlace local de un túnel IPsec deja de funcionar o cuando MS-MIC o MS-MPC que se utiliza en el conjunto de servicios del túnel deja de funcionar.
local-gateway address <gw-interface interface-name.logical-unit-number>;
El interface-name y debe coincidir con la interfaz y logical-unit-number la unidad lógica en las que está configurada la dirección IP de la puerta de enlace local.
Si la dirección IP de la puerta de enlace local para el conjunto de servicios de un túnel IPsec deja de funcionar o si el MS-MIC o MS-MPC que se utiliza en el conjunto de servicios deja de funcionar, el conjunto de servicios ya no envía desencadenadores IKE. Además, cuando la dirección IP de la puerta de enlace local deja de funcionar, las SA de IKE e IPsec se borran para los conjuntos de servicios del próximo salto y pasan al estado No instalado para los conjuntos de servicios de estilo de interfaz. Las SA que tienen el estado No instalado se eliminan cuando vuelve a aparecer la dirección IP de la puerta de enlace local.
Si la dirección IP de la puerta de enlace local que deja de funcionar para un conjunto de servicios del próximo salto es para el par del respondedor, debe borrar las SA de IKE e IPsec en el par del iniciador para que el túnel IPsec vuelva a funcionar una vez que vuelva a funcionar la dirección IP de la puerta de enlace local. Puede borrar manualmente las SA de IKE e IPsec en el par del iniciador (consulte Borrar asociaciones de seguridad ipsec-vpn ike de servicios y Borrar asociaciones de seguridad ipsec-vpn ipsec de servicios) o habilitar la detección de pares inactivos en el par del iniciador (consulte Configuración de reglas de firewall con estado).
Configuración de perfiles de acceso IKE para conjuntos de servicios IPsec
Solo para la tunelización dinámica de puntos de conexión, debe hacer referencia al perfil de acceso de IKE configurado en el nivel de [edit access]
jerarquía. Para ello, incluya la ike-access-profile
instrucción en el nivel jerárquico [edit services service-set service-set-name ipsec-vpn-options]
:
[edit services service-set service-set-name ipsec-vpn-options] ike-access-profile profile-name;
La ike-access-profile
instrucción debe hacer referencia al mismo nombre que la profile
instrucción configurada para el acceso IKE en el nivel jerárquico [edit access]
. Solo puede hacer referencia a un perfil de acceso en cada conjunto de servicios. Este perfil se utiliza para negociar asociaciones de seguridad de IKE e IPsec solo con pares dinámicos.
Si configura un perfil de acceso IKE en un conjunto de servicios, ningún otro conjunto de servicios podrá compartir la misma local-gateway
dirección.
Además, debe configurar un conjunto de servicios independiente para cada VRF. Todas las interfaces a las que hace referencia la ipsec-inside-interface
instrucción dentro de un conjunto de servicios deben pertenecer al mismo VRF.
Configuración de entidades de certificación para conjuntos de servicios IPsec
Puede especificar una o varias entidades de certificación de confianza incluyendo la trusted-ca
instrucción:
trusted-ca [ ca-profile-names ];
Al configurar certificados digitales de infraestructura de clave pública (PKI) en la configuración de IPsec, cada conjunto de servicios puede tener su propio conjunto de entidades de certificación de confianza. Los nombres que especifique para la instrucción deben coincidir con los perfiles configurados en el nivel jerárquico; para obtener más información, consulte la trusted-ca
Biblioteca de administración de Junos OS para dispositivos de enrutamiento.[edit security pki]
Para obtener más información acerca de la configuración de certificados digitales IPsec, consulte Configurar reglas IPsec.
A partir de Junos OS versión 18.2R1, puede configurar el enrutador serie MX con MS-MPC o MS-MIC para enviar sólo el certificado de entidad final para la autenticación IKE basada en certificados en lugar de la cadena de certificados completa. Esto evita la fragmentación de IKE. Para configurar esta característica, incluya la no-certificate-chain-in-ike
instrucción:
[edit services service-set service-set-name ipsec-vpn-options] no-certificate-chain-in-ike;
Configuración o desactivación del servicio antirreproducción
Puede incluir la instrucción en el nivel de jerarquía para especificar el [edit services service-set service-set-name ipsec-vpn-options]
tamaño de la anti-replay-window-size
ventana de antireproducción.
anti-replay-window-size bits;
Esta instrucción es útil para túneles de extremo dinámico para los que no se puede configurar la anti-replay-window-size
instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
jerarquía.
Para túneles IPsec estáticos, esta instrucción establece el tamaño de ventana antirreproducción para todos los túneles estáticos de este conjunto de servicios. Si un túnel determinado necesita un valor específico para el tamaño de ventana antirreproducción, establezca la anti-replay-window-size
instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
jerarquía. Si es necesario deshabilitar la comprobación antireproducción para un túnel determinado de este conjunto de servicios, establezca la no-anti-replay
instrucción en el nivel jerárquico [edit services ipsec-vpn rule rule-name term term-name then]
.
La anti-replay-window-size
configuración y no-anti-replay
en el nivel de jerarquía anula la configuración especificada en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
[edit services service-set service-set-name ipsec-vpn-options]
jerarquía.
También puede incluir la instrucción en el nivel de jerarquía para deshabilitar el no-anti-replay
[edit services service-set service-set-name ipsec-vpn-options]
servicio antirreproducción IPsec. Ocasionalmente causa problemas de interoperabilidad para las asociaciones de seguridad.
no-anti-replay;
Esta instrucción es útil para túneles de extremo dinámico para los que no se puede configurar la no-anti-reply
instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
jerarquía.
Para túneles IPsec estáticos, esta instrucción deshabilita la comprobación antirreproducción para todos los túneles de este conjunto de servicios. Si es necesario habilitar la comprobación antireproducción para un túnel determinado, establezca la anti-replay-window-size
instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
jerarquía.
El establecimiento de las instrucciones y no-anti-replay
en el nivel de jerarquía anula la configuración especificada en el nivel de [edit services service-set service-set-name ipsec-vpn-options]
anti-replay-window-size
[edit services ipsec-vpn rule rule-name term term-name then]
jerarquía.
Borrar el bit No fragmentar
Puede incluir la clear-dont-fragment-bit
instrucción en el nivel de jerarquía para borrar el bit de no fragmentar (DF) en todos los paquetes IP versión 4 (IPv4) que entren en el [edit services service-set service-set-name ipsec-vpn-options]
túnel IPsec. Si el tamaño del paquete encapsulado supera la unidad de transmisión máxima de túnel (MTU), el paquete se fragmenta antes de la encapsulación.
clear-dont-fragment-bit;
Esta instrucción es útil para túneles de extremo dinámico para los que no se puede configurar la clear-dont-fragment-bit
instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
jerarquía.
Para los túneles IPsec estáticos, establecer esta instrucción borra el bit DF en los paquetes que entran en todos los túneles estáticos dentro de este conjunto de servicios. Si desea borrar el bit DF de los paquetes que entran en un túnel específico, establezca la clear-dont-fragment-bit
instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
jerarquía.
A partir de Junos OS versión 14.1, en los paquetes que se transmiten a través de túneles IPSec de punto de conexión dinámico, puede habilitar el valor establecido en el bit DF del paquete que entra en el túnel para que se copie sólo en el encabezado externo del paquete IPsec y para que no cause ninguna modificación en el bit DF en el encabezado interno del paquete IPsec. Si el tamaño del paquete supera el valor de la unidad de transmisión máxima de túnel (MTU), el paquete se fragmenta antes de la encapsulación. Para los túneles IPsec, el valor predeterminado de MTU es 1500, independientemente de la configuración de MTU de la interfaz. Para copiar el valor de bit DF sólo en el encabezado externo y no modificar el encabezado interno, utilice la copy-dont-fragment-bit
instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options]
jerarquía. También puede configurar el bit DF para que se establezca solo en el encabezado IPv4 externo del paquete IPsec y no se defina en el encabezado IPv4 interno. Para configurar el bit DF sólo en el encabezado externo del paquete IPsec y dejar el encabezado interno sin modificar, incluya la set-dont-fragment-bit
instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options]
jerarquía. Esta configuración se aplica a los túneles de punto de conexión dinámicos y no a los túneles estáticos, para los que debe incluir las copy-dont-fragment-bit
instrucciones y set-dont-fragment-bit
en el nivel de jerarquía para borrar el bit DF en los paquetes IPv4 que entran en el [edit services ipsec-vpn rule rule-name term term-name then]
túnel estático. Estas funcionalidades son compatibles con los enrutadores de la serie MX con MS-MICs y MS-MPCs.
Configuración de la tunelización en modo pasivo
Puede incluir la passive-mode-tunneling
instrucción en el nivel de jerarquía para permitir que el conjunto de [edit services service-set service-set-name ipsec-vpn-options]
servicios tunelice paquetes con formato incorrecto.
[edit services service-set service-set-name ipsec-vpn-options] passive-mode-tunneling;
Esta funcionalidad omite las comprobaciones de IP activas, como la versión, TTL, protocolo, opciones, dirección y otras comprobaciones de ataques terrestres, y tuneliza los paquetes tal cual. Si esta instrucción no está configurada, los paquetes que no superen las comprobaciones de IP se eliminarán en la PIC. En el modo pasivo, el paquete interno no se toca; no se genera un error ICMP si el tamaño del paquete supera el valor MTU del túnel.
El túnel IPsec no se trata como un salto siguiente y TTL no disminuye. Dado que no se genera un error ICMP si el tamaño del paquete supera el valor MTU del túnel, el paquete se tuneliza incluso si cruza el umbral MTU del túnel.
Esta funcionalidad es similar a la proporcionada por la no-ipsec-tunnel-in-traceroute
instrucción, descrita en Seguimiento de operaciones seguras del sitio de Junos VPN. A partir de Junos OS versión 14.2, la tunelización en modo pasivo se admite en MS-MIC y MS-MPC.
A partir de Junos OS versión 14.2, la opción que se admite en MS-MIC y MS-MPC para comprobar el encabezado del paquete en busca de anomalías en la información IP, TCP, UDP e ICMP y marcar dichas anomalías y errores tiene una funcionalidad opuesta a la funcionalidad causada por la header-integrity-check
tunelización en modo pasivo. Si configura tanto la instrucción como la passive-mode tunneling
instrucción en MS-MICs y MS-MPCs, e intenta confirmar dicha configuración, se muestra un error durante la header-integrity-check
confirmación.
La funcionalidad de tunelización en modo pasivo (mediante la inclusión de la instrucción en el nivel de jerarquía) es un superconjunto de la capacidad de deshabilitar el extremo de túnel IPsec en la salida de traceroute (mediante la inclusión no-ipsec-tunnel-in-traceroute
de passive-mode-tunnelin
instrucciones en el [edit services service-set service-set-name ipsec-vpn-options]
[edit services ipsec-vpn]
nivel de jerarquía). La tunelización en modo pasivo también omite las comprobaciones de IP activas y la comprobación de MTU de túnel, además de no tratar un túnel IPsec como un salto siguiente, tal como lo configura la no-ipsec-tunnel-in-traceroute
instrucción.
Configuración del valor de MTU de túnel
Puede incluir la tunnel-mtu
instrucción en el nivel de jerarquía para establecer el valor de unidad máxima de [edit services service-set service-set-name ipsec-vpn-options]
transmisión (MTU) para los túneles IPsec.
tunnel-mtu bytes;
Esta instrucción es útil para túneles de extremo dinámico para los que no se puede configurar la tunnel-mtu
instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
jerarquía.
Para túneles IPsec estáticos, esta instrucción establece el valor MTU del túnel para todos los túneles de este conjunto de servicios. Si necesita un valor específico para un túnel determinado, establezca la tunnel-mtu
instrucción en el nivel jerárquico [edit services ipsec-vpn rule rule-name term term-name then]
.
La tunnel-mtu
configuración en el nivel de jerarquía reemplaza el valor especificado en el nivel de [edit services ipsec-vpn rule rule-name term term-name then]
[edit services service-set service-set-name ipsec-vpn-options]
jerarquía.
Configuración del reenvío de múltiples rutas IPsec con encapsulación UDP
A partir de Junos OS versión 16.1, puede habilitar el reenvío de múltiples rutas del tráfico IPsec configurando la encapsulación UDP en el conjunto de servicios, que agrega un encabezado UDP a la encapsulación IPsec de paquetes. Esto da como resultado el reenvío de tráfico IPsec a través de varias rutas, lo que aumenta el rendimiento del tráfico IPsec. Si no habilita la encapsulación UDP, todo el tráfico IPsec sigue una única ruta de reenvío.
Cuando se detecta NAT-T, solo se produce la encapsulación UDP de NAT-T, no la encapsulación UDP para paquetes IPsec.
Para habilitar la encapsulación UDP:
Habilite la encapsulación UDP.
[edit services service-set service-set-name ipsec-vpn-options] user@host set udp-encapsulation
(Opcional) Especifique el número de puerto de destino UDP.
[edit services service-set service-set-name ipsec-vpn-options udp-encapsulation] user@host set udp-dest-port destination-port
Use un número de puerto de destino del 1025 al 65536, pero no use el 4500. Si no especifica un número de puerto, el puerto de destino predeterminado es 4565.
Ver también
Solicitar e instalar certificados digitales en el enrutador
Un certificado digital es un medio electrónico para verificar su identidad a través de un tercero de confianza, conocido como autoridad de certificación (CA). Como alternativa, puede utilizar un certificado autofirmado para dar fe de su identidad. El servidor de CA que utilice puede ser propiedad y estar operado por una CA independiente o por su propia organización, en cuyo caso usted se convierte en su propia CA. Si usa una CA independiente, debe ponerse en contacto con ella para obtener las direcciones de sus servidores de CA y de lista de revocación de certificados (CRL) (para obtener certificados y CRL) y para obtener la información que necesitan al enviar solicitudes de certificados personales. Cuando usted es su propia CA, usted mismo determina esta información. La infraestructura de clave pública (PKI) proporciona una infraestructura para la administración de certificados digitales.
Solicitud de un certificado digital: proceso manual
Para obtener certificados digitales manualmente, debe configurar un perfil de CA, generar un par de claves pública y privada, crear un certificado local y cargar los certificados en el enrutador. Después de cargar los certificados, se puede hacer referencia a ellos en la configuración de IPsec-VPN.
En este procedimiento, se muestra cómo configurar un perfil de CA:
Ejemplo: configuración dinámica de SA de IKE con certificados digitales
En este ejemplo se muestra cómo configurar SA dinámica de IKE con certificados digitales y se muestran las siguientes secciones.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Cuatro enrutadores serie M, MX o T con interfaces multiservicio instaladas en ellos.
Junos OS versión 9.4 o posterior.
Antes de configurar este ejemplo, debe solicitar un certificado de CA, crear un certificado local y cargar estos certificados digitales en el enrutador. Para obtener más información, consulte Solicitud e instalación de certificados digitales en el enrutador
Visión general
Una asociación de seguridad (SA) es una conexión simplex que permite que dos hosts se comuniquen de forma segura entre sí mediante IPsec. En este ejemplo se explica la configuración dinámica de SA de IKE con certificados digitales. El uso de certificados digitales proporciona seguridad adicional al túnel IKE. Con los valores predeterminados de la PIC de servicios, no es necesario configurar una propuesta o directiva de IPsec. Sin embargo, debe configurar una propuesta de IKE que especifique el uso de certificados digitales, hacer referencia a la propuesta de IKE y al certificado local en una política de IKE y aplicar el perfil de CA al conjunto de servicios.
La figura 1 muestra una topología IPsec que contiene un grupo de cuatro enrutadores. Esta configuración requiere que los enrutadores 2 y 3 establezcan un túnel IPsec basado en IKE mediante certificados digitales en lugar de claves previamente compartidas. Los enrutadores 1 y 4 proporcionan conectividad básica y se utilizan para verificar que el túnel IPsec esté operativo.
Topología

Configuración
Para configurar IKE SA dinámica con certificados digitales, realice estas tareas:
Los tipos de interfaz que se muestran en este ejemplo son solo con fines indicativos. Por ejemplo, puede utilizar so-
interfaces en lugar de ge-
y sp-
en lugar de ms-
.
- Configuración del enrutador 1
- Configuración del enrutador 2
- Configuración del enrutador 3
- Configuración del enrutador 4
Configuración del enrutador 1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 1.
set interfaces ge-0/0/0 description "to R2 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set routing-options router-id 10.0.0.1 set protocols ospf area 0.0.0.0 interface ge-0/0/0 set protocols ospf area 0.0.0.0 interface lo0.0
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el enrutador 1 para la conectividad OSPF con el enrutador 2:
Configure una interfaz Ethernet y la interfaz de circuito cerrado.
[edit interfaces] user@router1# set ge-0/0/0 description "to R2 ge-0/0/0" user@router1# set ge-0/0/0 unit 0 family inet address 10.1.12.2/30 user@router1# set lo0 unit 0 family inet address 10.0.0.1/32
Especifique el área OSPF y asocie las interfaces con el área OSPF.
[edit protocols] user@router1# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router1# set ospf area 0.0.0.0 interface lo0.0
Configure el ID del enrutador.
[edit routing-options] user@router1# set router-id 10.0.0.1
Confirme la configuración.
[edit] user@router1# commit
Resultados
Desde el modo de configuración, escriba los show interfaces
comandos , y show routing-options
para confirmar la configuración. show protocols ospf
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@router1# show interfaces interfaces { ge-0/0/0 { description "To R2 ge-0/0/0"; unit 0 { family inet { address 10.1.12.2/30; } } } lo0 { unit 0 { family inet { address 10.0.0.1/32; } } } }
user@router1# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; } } }
user@router1# show routing-options routing-options { router-id 10.0.0.1; }
Configuración del enrutador 2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 2.
set interfaces ge-0/0/0 description "to R1 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.1/30 set interfaces ge-0/0/1 description "to R3 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.1/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.2/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.2 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.2 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method rsa-signatures set services ipsec-vpn ike policy ike-digital-certificates proposals ike-demo-proposal set services ipsec-vpn ike policy ike-digital-certificates local-id fqdn router2.example.com set services ipsec-vpn ike policy ike-digital-certificates local-certificate local-entrust2 set services ipsec-vpn ike policy ike-digital-certificates remote-id fqdn router3.example.com set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services ipsec-vpn establish-tunnels immediately set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options trusted-ca entrust set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 set services service-set demo-service-set ipsec-vpn-rules rule-ike
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar la conectividad OSPF y los parámetros del túnel IPsec en el enrutador 2:
Configure las propiedades de la interfaz. En este paso, configurará dos interfaces Ethernet (ge-1/0/0 y ge-1/0/1), la interfaz de circuito cerrado y una interfaz multiservicios (ms-1/2/0).
[edit interfaces] user@router2# set ge-0/0/0 description "to R1 ge-0/0/0" user@router2# set ge-0/0/0 unit 0 family inet address 10.1.12.1/30 user@router2# set ge-0/0/1 description "to R3 ge-0/0/1" user@router2# set ge-0/0/1 unit 0 family inet address 10.1.15.1/30 user@router2# set ms-1/2/0 services-options syslog host local services info user@router2# set ms-1/2/0 unit 0 family inet user@router2# set ms-1/2/0 unit 1 family inet user@router2# set ms-1/2/0 unit 1 service-domain inside user@router2# set ms-1/2/0 unit 2 family inet user@router2# set ms-1/2/0 unit 2 service-domain outside user@router2# set lo0 unit 0 family inet address 10.0.0.2/32
Especifique el área OSPF y asocie las interfaces con el área OSPF.
[edit protocols] user@router2# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router2# set ospf area 0.0.0.0 interface lo0.0 user@router2# set ospf area 0.0.0.0 interface ms-1/2/0.1
Configure el ID del enrutador.
[edit routing-options] user@router2# set router-ID 10.0.0.2
Configure una propuesta y una política de IKE. Para habilitar una propuesta de IKE para certificados digitales, incluya la
rsa-signatures
instrucción en el nivel jerárquico[edit services ipsec-vpn ike proposal proposal-name authentication-method]
. Para hacer referencia al certificado local en la política de IKE, incluya lalocal-certificate
instrucción en el nivel jerárquico[edit services ipsec-vpn ike policy policy-name]
. Para identificar la CA o RA en el conjunto de servicios, incluya latrusted-ca
instrucción en el nivel de[edit services service-set service-set-name ipsec-vpn-options]
jerarquía.Nota:Para obtener información acerca de cómo crear e instalar certificados digitales, consulte Solicitar e instalar certificados digitales en el enrutador
[edit services ipsec-vpn] user@router2# set ike proposal ike-demo-proposal authentication-method rsa-signatures user@router2# set ike policy ike-digital-certificates proposals ike-demo-proposal user@router2# set ike policy ike-digital-certificates local-id fqdn router2.example.com user@router2# set ike policy ike-digital-certificates local-certificate local-entrust2 user@router2# set ike policy ike-digital-certificates remote-id fqdn router3.example.com
Configure una propuesta y una política de IPsec. Además, establezca la
established-tunnels
perilla enimmediately
.[edit services ipsec-vpn] user@router2# set ipsec proposal ipsec-demo-proposal protocol esp user@router2# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router2# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router2# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router2# set ipsec proposals ipsec-demo-proposal user@router2# set establish-tunnels immediately
Configure una regla IPsec.
[edit services ipsec-vpn] user@router2# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router2# set rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates user@router2# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router2# set rule match-direction input
Configure un conjunto de servicios de estilo de salto siguiente, especifique la dirección de puerta de enlace local y asocie la regla VPN IPsec con el conjunto de servicios.
[edit services] user@router2# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router2# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router2# set service-set demo-service-set ipsec-vpn-options trusted-ca entrust user@router2# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 user@router2# set service-set demo-service-set ipsec-vpn-rules rule-ike
Confirme la configuración.
[edit] user@router2# commit
Resultados
Desde el modo de configuración, escriba los comandos , , show protocols ospf
show routing-options
y show services
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración
user@router2# show interfaces interfaces { ge-0/0/0 { description "To R1 ge-0/0/0"; unit 0 { family inet { address 10.1.12.1/30; } } } ge-0/0/1 { description "To R3 ge-0/0/1"; unit 0 { family inet { address 10.1.15.1/30; } } } ms-1/2/0 { services-options { syslog { host local { services info; } } } unit 0 { family inet; } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } lo0 { unit 0 { family inet { address 10.0.0.2/32; } } } }
user@router2# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; interface ms-1/2/0.1; } } }
user@router2# show routing-options routing-options { router-id 10.0.0.2; }
user@router2# show services services { ipsec-vpn { rule rule-ike { term term-ike { then { remote-gateway 10.1.15.2; dynamic { ike-policy ike-digital-certificates; ipsec-policy ipsec-demo-policy } } } match-direction input; } ike { proposal ike-demo-proposal { authentication-method rsa-signatures; } policy ike-digital-certificates { proposals ike-demo-proposal; local-id fqdn router2.example.com; local-certificate local-entrust2; remote-id fqdn router3.example.com; } } ipsec { proposal ipsec-demo-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy demo-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-demo-proposal; } establish-tunnels immediately; } service-set service-set-dynamic-demo-service-set { next-hop-service { inside-service-interface ms-1/2/0.1; outside-service-interface ms-1/2/0.2; } ipsec-vpn-options { trusted-ca entrust; local-gateway 10.1.15.1; } ipsec-vpn-rules rule-ike; } } }
Configuración del enrutador 3
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 3.
set interfaces ge-0/0/0 description "to R4 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.1/30 set interfaces ge-0/0/1 description "to R2 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.2/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.3/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.3 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.1 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method rsa-signatures set services ipsec-vpn ike policy ike-digital-certificates proposals ike-demo-proposal set services ipsec-vpn ike policy ike-digital-certificates local-id fqdn router3.example.com set services ipsec-vpn ike policy ike-digital-certificates local-certificate local-entrust3 set services ipsec-vpn ike policy ike-digital-certificates remote-id fqdn router2.example.com set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services ipsec-vpn establish-tunnels immediately set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options trusted-ca entrust set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 set services service-set demo-service-set ipsec-vpn-rules rule-ike
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Si los pares IPsec no tienen una configuración simétrica que contenga todos los componentes necesarios, no pueden establecer una relación de emparejamiento. Debe solicitar un certificado de CA, crear un certificado local, cargar estos certificados digitales en el enrutador y hacer referencia a ellos en la configuración de IPsec. Para obtener información acerca de la certificación digital, consulte Solicitar e instalar certificados digitales en el enrutador
Para configurar la conectividad OSPF y los parámetros del túnel IPsec en el enrutador 3:
Configure las propiedades de la interfaz. En este paso, configurará dos interfaces Ethernet (ge-1/0/0 y ge-1/0/1), la interfaz de circuito cerrado y una interfaz multiservicio (ms-1/2/0).
[edit interfaces] user@router3# set ge-0/0/0 description "to R4 ge-0/0/0" user@router3# set ge-0/0/0 unit 0 family inet address 10.1.56.1/30 user@router3# set ge-0/0/1 description "to R2 ge-0/0/1" user@router3# set ge-0/0/1 unit 0 family inet address 10.1.15.2/30 user@router3# set ms-1/2/0 services-options syslog host local services info user@router3# set ms-1/2/0 unit 0 family inet user@router3# set ms-1/2/0 unit 1 family inet user@router3# set ms-1/2/0 unit 1 service-domain inside user@router3# set ms-1/2/0 unit 2 family inet user@router3# set ms-1/2/0 unit 2 service-domain outside user@router3# set lo0 unit 0 family inet address 10.0.0.3/32
Especifique el área OSPF, asocie las interfaces con el área OSPF.
[edit protocols] user@router3# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router3# set ospf area 0.0.0.0 interface lo0.0 user@router3# set ospf area 0.0.0.0 interface ms-1/2/0.1
Configure un ID de enrutador.
[edit routing-options] user@router3# set router-id 10.0.0.3
Configure una propuesta y una política de IKE. Para habilitar una propuesta de IKE para certificados digitales, incluya la
rsa-signatures
instrucción en el nivel jerárquico[edit services ipsec-vpn ike proposal proposal-name authentication-method]
. Para hacer referencia al certificado local en la política de IKE, incluya lalocal-certificate
instrucción en el nivel jerárquico[edit services ipsec-vpn ike policy policy-name]
. Para identificar la CA o RA en el conjunto de servicios, incluya latrusted-ca
instrucción en el nivel de[edit services service-set service-set-name ipsec-vpn-options]
jerarquía.Nota:Para obtener información acerca de cómo crear e instalar certificados digitales, consulte Solicitar e instalar certificados digitales en el enrutador
[edit services ipsec-vpn] user@router3# set ike proposal ike-demo-proposal authentication-method rsa-signatures user@router3# set ike policy ike-digital-certificates proposals ike-demo-proposal user@router3# set ike policy ike-digital-certificates local-id fqdn router2.example.com user@router3# set ike policy ike-digital-certificates local-certificate local-entrust2 user@router3# set ike policy ike-digital-certificates remote-id fqdn router3.example.com
Configure una propuesta IPsec. Además, establezca la
established-tunnels
perilla enimmediately
.[edit services ipsec-vpn] user@router3# set ipsec proposal ipsec-demo-proposal protocol esp user@router3# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router3# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router3# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router3# set ipsec proposals ipsec-demo-proposal user@router3# set establish-tunnels immediately
Configure una regla IPsec.
[edit services ipsec-vpn] user@router3# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router3# set rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates user@router3# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router3# set rule match-direction input
Configure un conjunto de servicios de estilo de salto siguiente, especifique la dirección de puerta de enlace local y asocie la regla VPN IPsec con el conjunto de servicios.
[edit services] user@router3# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router3# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router3# set service-set demo-service-set ipsec-vpn-options trusted-ca entrust user@router3# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 user@router3# set service-set demo-service-set ipsec-vpn-rules rule-ike
Confirme la configuración.
[edit] user@router3# commit
Resultados
Desde el modo de configuración, escriba los comandos , , show protocols ospf
show routing-options
y show services
para confirmar la show interfaces
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración
user@router3# show interfaces interfaces { ge-0/0/0 { description "To R4 ge-0/0/0"; unit 0 { family inet { address 10.1.56.1/30; } } } ge-0/0/1 { description "To R2 ge-0/0/1"; unit 0 { family inet { address 10.1.15.2/30; } } } ms-1/2/0 { services-options { syslog { host local { services info; } } } unit 0 { family inet { } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } lo0 { unit 0 { family inet { address 10.0.0.3/32; } } } } }
user@router3# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; interface ms-1/2/0.1; } } }
user@router3# show routing-options routing-options { router-id 10.0.0.3; }
user@router3# show services services { ipsec-vpn { rule rule-ike { term term-ike { then { remote-gateway 10.1.15.1; dynamic { ike-policy ike-digital-certificates; ipsec-policy ipsec-demo-policy } } } match-direction input; } ike { proposal ike-demo-proposal { authentication-method rsa-signatures; } policy ike-digital-certificates { proposals ike-demo-proposal; local-id fqdn router3.example.com; local-certificate local-entrust3; remote-id fqdn router2.example.com; } } ipsec { proposal ipsec-demo-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy demo-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-demo-proposal; } establish-tunnels immediately; } service-set service-set-dynamic-demo-service-set { next-hop-service { inside-service-interface ms-1/2/0.1; outside-service-interface ms-1/2/0.2; } ipsec-vpn-options { trusted-ca entrust; local-gateway 10.1.15.2; } ipsec-vpn-rules rule-ike; } } }
Configuración del enrutador 4
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 4.
set interfaces ge-0/0/0 description "to R3 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.4/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set routing-options router-id 10.0.0.4
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar la conectividad OSPF con el enrutador 4
Configure las interfaces. En este paso, configurará una interfaz Ethernet (ge-1/0/1) y la interfaz de circuito cerrado.
[edit interfaces] user@router4# set ge-0/0/0 description "to R3 ge-0/0/0" user@router4# set ge-0/0/0 unit 0 family inet address 10.1.56.2/30 user@router4# set lo0 unit 0 family inet address 10.0.0.4/32
Especifique el área OSPF y asocie las interfaces con el área OSPF.
[edit protocols] user@router4# set ospf area 0.0.0.0 interface ge-0/0/0 user@router4# set ospf area 0.0.0.0 interface lo0.0
Configure el ID del enrutador.
[edit routing-options] user@router4# set router-id 10.0.0.4
Resultados
Desde el modo de configuración, escriba los show interfaces
comandos , y show routing-options
para confirmar la configuración. show protocols ospf
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración
user@router4# show interfaces interfaces { ge-0/0/0 { description "To R3 ge-0/0/0"; unit 0 { family inet { address 10.1.56.2/30; } } } lo0 { unit 0 { family inet { address 10.0.0.4/32; } } } }
user@router4# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; } } }
user@router4# show routing-options routing-options { router-id 10.0.0.4; }
Verificación
- Verificación de su trabajo en el enrutador 1
- Verificación de su trabajo en el enrutador 2
- Verificación de su trabajo en el enrutador 3
- Verificación de su trabajo en el enrutador 4
Verificación de su trabajo en el enrutador 1
Propósito
En el enrutador 1, verifique el comando ping a la interfaz so-0/0/0 en el enrutador 4 para enviar tráfico a través del túnel IPsec.
Acción
En el modo operativo, escriba ping 10.1.56.2
.
user@router1>ping 10.1.56.2 PING 10.1.56.2 (10.1.56.2): 56 data bytes 64 bytes from 10.1.56.2: icmp_seq=0 ttl=254 time=1.351 ms 64 bytes from 10.1.56.2: icmp_seq=1 ttl=254 time=1.187 ms 64 bytes from 10.1.56.2: icmp_seq=2 ttl=254 time=1.172 ms 64 bytes from 10.1.56.2: icmp_seq=3 ttl=254 time=1.154 ms 64 bytes from 10.1.56.2: icmp_seq=4 ttl=254 time=1.156 ms ^C --- 10.1.56.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.154/1.204/1.351/0.074 ms
Si hace ping a la dirección de circuito cerrado del enrutador 4, la operación se realiza correctamente porque la dirección forma parte de la red OSPF configurada en el enrutador 4.
user@router1>ping 10.0.0.4 PING 10.0.0.4 (10.0.0.4): 56 data bytes 64 bytes from 10.0.0.4: icmp_seq=0 ttl=62 time=1.318 ms 64 bytes from 10.0.0.4: icmp_seq=1 ttl=62 time=1.084 ms 64 bytes from 10.0.0.4: icmp_seq=2 ttl=62 time=3.260 ms ^C --- 10.0.0.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.084/1.887/3.260/0.975 ms
Verificación de su trabajo en el enrutador 2
Propósito
Para comprobar que el tráfico coincidente se está desviando al túnel IPsec bidireccional, vea las estadísticas de IPsec:
Acción
Desde el modo operativo, introduzca el show services ipsec-vpn ipsec statistics
archivo .
user@router2>show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-dynamic-demo-service-set ESP Statistics: Encrypted bytes: 162056 Decrypted bytes: 161896 Encrypted packets: 2215 Decrypted packets: 2216 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Para comprobar que la negociación de SA de IKE se ha realizado correctamente, ejecute el show services ipsec-vpn ike security-associations comando:
Desde el modo operativo, escriba el icono show services ipsec-vpn ike security-associations
user@router2> show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.2 Matured d82610c59114fd37 ec4391f76783ef28 Main
Para comprobar que la asociación de seguridad IPsec está activa, ejecute el show services ipsec-vpn ipsec security-associations detail comando. Observe que la SA contiene la configuración predeterminada inherente a la PIC de servicios, como ESP para el protocolo y HMAC-SHA1-96 para el algoritmo de autenticación.
Desde el modo operativo, escriba el icono show services ipsec-vpn ipsec security-associations detail
user@router2> show services ipsec-vpn ipsec security-associations detail Service set: service-set-dynamic-demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2 IPsec inside interface: sp-1/2/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Direction: inbound, SPI: 857451461, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 9052 seconds Hard lifetime: Expires in 9187 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 1272330309, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 9052 seconds Hard lifetime: Expires in 9187 seconds Anti-replay service: Enabled, Replay window size: 64
Para mostrar los certificados digitales que se usan para establecer el túnel IPsec, emita el comando mostrar certificados ipsec-vpn de servicios:
Desde el modo operativo, escriba el icono show services ipsec-vpn certificates
user@router2> show services ipsec-vpn certificates Service set: service-set-dynamic-demo-service-set, Total entries: 3 Certificate cache entry: 3 Flags: Non-root Trusted Issued to: router3.example.com, Issued by: juniper Alternate subject: router3.example.com Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Certificate cache entry: 2 Flags: Non-root Trusted Issued to: router2.example.com, Issued by: juniper Alternate subject: router2.example.com Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Certificate cache entry: 1 Flags: Root Trusted Issued to: juniper, Issued by: juniper Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT
Para mostrar el certificado de CA, emita el comando show security pki ca-certificate detail. Tenga en cuenta que hay tres certificados independientes: uno para la firma de certificados, uno para el cifrado de claves y otro para la firma digital de la CA.
Desde el modo operativo, escriba el icono show security pki ca-certificate detail
user@router2> show security pki ca-certificate detail Certificate identifier: entrust Certificate version: 3 Serial number: 4355 9235 Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT Public key algorithm: rsaEncryption(1024 bits) cb:9e:2d:c0:70:f8:ea:3c:f2:b5:f0:02:48:87:dc:68:99:a3:57:4f 0e:b9:98:0b:95:47:0d:1f:97:7c:53:17:dd:1a:f8:da:e5:08:d1:1c 78:68:1f:2f:72:9f:a2:cf:81:e3:ce:c5:56:89:ce:f0:97:93:fa:36 19:3e:18:7d:8c:9d:21:fe:1f:c3:87:8d:b3:5d:f3:03:66:9d:16:a7 bf:18:3f:f0:7a:80:f0:62:50:43:83:4f:0e:d7:c6:42:48:c0:8a:b2 c7:46:30:38:df:9b:dc:bc:b5:08:7a:f3:cd:64:db:2b:71:67:fe:d8 04:47:08:07:de:17:23:13 Signature algorithm: sha1WithRSAEncryption Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 (sha1) 71:6f:6a:76:17:9b:d6:2a:e7:5a:72:97:82:6d:26:86 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: CRL signing, Certificate signing Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925c Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) c0:a4:21:32:95:0a:cd:ec:12:03:d1:a2:89:71:8e:ce:4e:a6:f9:2f 1a:9a:13:8c:f6:a0:3d:c9:bd:9d:c2:a0:41:77:99:1b:1e:ed:5b:80 34:46:f8:5b:28:34:38:2e:91:7d:4e:ad:14:86:78:67:e7:02:1d:2e 19:11:b7:fa:0d:ba:64:20:e1:28:4e:3e:bb:6e:64:dc:cd:b1:b4:7a ca:8f:47:dd:40:69:c2:35:95:ce:b8:85:56:d7:0f:2d:04:4d:5d:d8 42:e1:4f:6b:bf:38:c0:45:1e:9e:f0:b4:7f:74:6f:e9:70:fd:4a:78 da:eb:10:27:bd:46:34:33 Signature algorithm: sha1WithRSAEncryption Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 (sha1) 23:79:40:c9:6d:a6:f0:ca:e0:13:30:d4:29:6f:86:79 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Key encipherment Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925b Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) ea:75:c4:f3:58:08:ea:65:5c:7e:b3:de:63:0a:cf:cf:ec:9a:82:e2 d7:e8:b9:2f:bd:4b:cd:86:2f:f1:dd:d8:a2:95:af:ab:51:a5:49:4e 00:10:c6:25:ff:b5:49:6a:99:64:74:69:e5:8c:23:5b:b4:70:62:8e e4:f9:a2:28:d4:54:e2:0b:1f:50:a2:92:cf:6c:8f:ae:10:d4:69:3c 90:e2:1f:04:ea:ac:05:9b:3a:93:74:d0:59:24:e9:d2:9d:c2:ef:22 b9:32:c7:2c:29:4f:91:cb:5a:26:fe:1d:c0:36:dc:f4:9c:8b:f5:26 af:44:bf:53:aa:d4:5f:67 Signature algorithm: sha1WithRSAEncryption Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f (sha1) ee:cc:c7:f4:5d:ac:65:33:0a:55:db:59:72:2c:dd:16 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Digital signature
Para mostrar la solicitud de certificado local, emita el comando show security pki certificate-request:
Desde el modo operativo, escriba el icono show security pki certificate-request
user@router2> show security pki certificate-request Certificate identifier: local-entrust2 Issued to: router2.example.com Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
Para mostrar el certificado local, emita el comando show security pki local-certificate:
Desde el modo operativo, escriba el icono show security pki local-certificate
user@router2> show security pki local-certificate Certificate identifier: local-entrust2 Issued to: router2.example.com, Issued by: juniper Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
Verificación de su trabajo en el enrutador 3
Propósito
Para comprobar que el tráfico coincidente se está desviando al túnel IPsec bidireccional, vea las estadísticas de IPsec:
Acción
Desde el modo operativo, introduzca el show services ipsec-vpn ipsec statistics
archivo .
user@router3>show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-dynamic-demo-service-set ESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 162056 Encrypted packets: 2216 Decrypted packets: 2215 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Para comprobar que la negociación de SA de IKE se realiza correctamente, emita el comando show services ipsec-vpn ike security-associations. Para que se realice correctamente, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.
Desde el modo operativo, introduzca el show services ipsec-vpn ike security-associations
archivo .
user@router3>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.1 Matured d82610c59114fd37 ec4391f76783ef28 Main
Para comprobar que la SA de IPsec está activa, ejecute el comando show services ipsec-vpn ipsec security-associations. Para que se realice correctamente, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.
Desde el modo operativo, introduzca el show services ipsec-vpn ipsec security-associations detail
archivo .
user@router3>show services ipsec-vpn ipsec security-associations detail Service set: service-set-dynamic-demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1 IPsec inside interface: sp-1/2/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Direction: inbound, SPI: 1272330309, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 7219 seconds Hard lifetime: Expires in 7309 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 857451461, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 7219 seconds Hard lifetime: Expires in 7309 seconds Anti-replay service: Enabled, Replay window size: 64
Para mostrar los certificados digitales que se usan para establecer el túnel IPsec, emita el comando mostrar certificados ipsec-vpn de servicios:
Desde el modo operativo, introduzca el show services ipsec-vpn certificates
archivo .
user@router3>show services ipsec-vpn certificates Service set: service-set-dynamic-demo-service-set, Total entries: 3 Certificate cache entry: 3 Flags: Non-root Trusted Issued to: router3.example.com, Issued by: juniper Alternate subject: router3.example.com Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Certificate cache entry: 2 Flags: Non-root Trusted Issued to: router2.example.com, Issued by: juniper Alternate subject: router2.example.com Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Certificate cache entry: 1 Flags: Root Trusted Issued to: juniper, Issued by: juniper Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT
Para mostrar el certificado de CA, emita el comando show security pki ca-certificate detail. Tenga en cuenta que hay tres certificados independientes: uno para la firma de certificados, uno para el cifrado de claves y otro para la firma digital de la CA.
Desde el modo operativo, introduzca el show security pki ca-certificate detail
archivo .
user@router3>show security pki ca-certificate detail Certificate identifier: entrust Certificate version: 3 Serial number: 4355 9235 Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT Public key algorithm: rsaEncryption(1024 bits) cb:9e:2d:c0:70:f8:ea:3c:f2:b5:f0:02:48:87:dc:68:99:a3:57:4f 0e:b9:98:0b:95:47:0d:1f:97:7c:53:17:dd:1a:f8:da:e5:08:d1:1c 78:68:1f:2f:72:9f:a2:cf:81:e3:ce:c5:56:89:ce:f0:97:93:fa:36 19:3e:18:7d:8c:9d:21:fe:1f:c3:87:8d:b3:5d:f3:03:66:9d:16:a7 bf:18:3f:f0:7a:80:f0:62:50:43:83:4f:0e:d7:c6:42:48:c0:8a:b2 c7:46:30:38:df:9b:dc:bc:b5:08:7a:f3:cd:64:db:2b:71:67:fe:d8 04:47:08:07:de:17:23:13 Signature algorithm: sha1WithRSAEncryption Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 (sha1) 71:6f:6a:76:17:9b:d6:2a:e7:5a:72:97:82:6d:26:86 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: CRL signing, Certificate signing Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925c Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) c0:a4:21:32:95:0a:cd:ec:12:03:d1:a2:89:71:8e:ce:4e:a6:f9:2f 1a:9a:13:8c:f6:a0:3d:c9:bd:9d:c2:a0:41:77:99:1b:1e:ed:5b:80 34:46:f8:5b:28:34:38:2e:91:7d:4e:ad:14:86:78:67:e7:02:1d:2e 19:11:b7:fa:0d:ba:64:20:e1:28:4e:3e:bb:6e:64:dc:cd:b1:b4:7a ca:8f:47:dd:40:69:c2:35:95:ce:b8:85:56:d7:0f:2d:04:4d:5d:d8 42:e1:4f:6b:bf:38:c0:45:1e:9e:f0:b4:7f:74:6f:e9:70:fd:4a:78 da:eb:10:27:bd:46:34:33 Signature algorithm: sha1WithRSAEncryption Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 (sha1) 23:79:40:c9:6d:a6:f0:ca:e0:13:30:d4:29:6f:86:79 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Key encipherment Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925b Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) ea:75:c4:f3:58:08:ea:65:5c:7e:b3:de:63:0a:cf:cf:ec:9a:82:e2 d7:e8:b9:2f:bd:4b:cd:86:2f:f1:dd:d8:a2:95:af:ab:51:a5:49:4e 00:10:c6:25:ff:b5:49:6a:99:64:74:69:e5:8c:23:5b:b4:70:62:8e e4:f9:a2:28:d4:54:e2:0b:1f:50:a2:92:cf:6c:8f:ae:10:d4:69:3c 90:e2:1f:04:ea:ac:05:9b:3a:93:74:d0:59:24:e9:d2:9d:c2:ef:22 b9:32:c7:2c:29:4f:91:cb:5a:26:fe:1d:c0:36:dc:f4:9c:8b:f5:26 af:44:bf:53:aa:d4:5f:67 Signature algorithm: sha1WithRSAEncryption Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f (sha1) ee:cc:c7:f4:5d:ac:65:33:0a:55:db:59:72:2c:dd:16 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Digital signature
Para mostrar la solicitud de certificado local, emita el comando show security pki certificate-request:
Desde el modo operativo, introduzca el show security pki certificate-request
archivo .
user@router3>show security pki certificate-request Certificate identifier: local-entrust3 Issued to: router3.example.com Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
Para mostrar el certificado local, emita el comando show security pki local-certificate:
Desde el modo operativo, introduzca el show security pki local-certificate
archivo .
user@router3>show security pki local-certificate Certificate identifier: local-entrust3 Issued to: router3.example.com, Issued by: juniper Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
Verificación de su trabajo en el enrutador 4
Propósito
En el enrutador 4, emita un comando ping a la interfaz so-0/0/0 del enrutador 1 para enviar tráfico a través del túnel IPsec.
Acción
En el modo operativo, escriba ping 10.1.12.2
.
user@router4>ping 10.1.12.2 PING 10.1.12.2 (10.1.12.2): 56 data bytes 64 bytes from 10.1.12.2: icmp_seq=0 ttl=254 time=1.350 ms 64 bytes from 10.1.12.2: icmp_seq=1 ttl=254 time=1.161 ms 64 bytes from 10.1.12.2: icmp_seq=2 ttl=254 time=1.124 ms 64 bytes from 10.1.12.2: icmp_seq=5 ttl=254 time=1.116 ms ^C --- 10.1.12.2 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.116/1.172/1.350/0.081 ms
La última forma de confirmar que el tráfico viaja a través del túnel IPsec es emitiendo el comando traceroute a la interfaz so-0/0/0 en el enrutador 1. Tenga en cuenta que no se hace referencia a la interfaz física entre los enrutadores 2 y 3 en la ruta; el tráfico entra en el túnel IPsec a través de la interfaz IPsec interna de servicios adaptables del enrutador 3, pasa a través de la interfaz de circuito cerrado del enrutador 2 y termina en la interfaz so-0/0/0 del enrutador 1.
Desde el modo operativo, introduzca el traceroute 10.1.12.2
archivo .
user@router4>traceroute 10.1.12.2 traceroute to 10.1.12.2 (10.1.12.2), 30 hops max, 40 byte packets 1 10.1.15.2 (10.1.15.2) 0.987 ms 0.630 ms 0.563 ms 2 10.0.0.2 (10.0.0.2) 1.194 ms 1.058 ms 1.033 ms 3 10.1.12.2 (10.1.12.2) 1.073 ms 0.949 ms 0.932 ms
Configuración de Junos VPN Site Secure o IPSec VPN
La VPN IPsec es compatible con todos los enrutadores de la serie MX con MS-MIC, MS-MPC o MS-DPC.
En los enrutadores serie M y T, VPN IPsec es compatible con Multiservicios 100 PIC, Multiservicios 400 PIC y Multiservicios 500 PIC.
Las MS-MIC y MS-MPC son compatibles con Junos OS versión 13.2 y posteriores. Las MS-MIC Y MS-MPC admiten todas las características compatibles con MS-DPC y MS-PIC, excepto el protocolo de encabezado de autenticación (ah), el protocolo de carga de seguridad encapsulada (ESP) y el protocolo de paquete (protocolo AH y ESP) para una asociación de seguridad dinámica o manual y un servicio IPsec sin flujo.
NAT transversal (NAT-T) es compatible con IKEv1 e IKEv2 desde Junos OS versión 17.4R1 en adelante. NAT-T está habilitado de forma predeterminada. Puede especificar la encapsulación y desencapsulación UDP para paquetes IKE y ESP mediante la configuración disable-natt
en los niveles de [edit services ipsec-vpn]
jerarquía.
Ver también
Ejemplo: configuración de Junos VPN Site Secure en MS-MIC y MS-MPC
Puede seguir el mismo procedimiento y usar la misma configuración indicada en este ejemplo para configurar Junos VPN Site Secure (anteriormente conocidas como características IPsec) en MS-MPC.
Este ejemplo contiene las siguientes secciones:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Dos enrutadores serie MX con MS-MICs
Junos OS versión 13.2 o posterior
Visión general
Junos OS versión 13.2 amplía la compatibilidad con Junos VPN Site Secure (anteriormente conocidas como funciones IPsec) a los recién introducidos multiservicios MIC y MPC (MS-MIC y MS-MPC) en enrutadores serie MX. Los paquetes del proveedor de extensiones de Junos OS vienen preinstalados y preconfigurados en MS-MIC y MS-MPC.
Las siguientes características de Junos VPN Site Secure son compatibles con MS-MIC y MS-MPC en la versión 13.2:
Puntos finales dinámicos (DEP)
Protocolo de carga de seguridad de encapsulación (ESP)
Mensajes desencadenantes de detección de pares muertos (DPD)
Notificaciones de rollover de número de secuencia
Túneles IPsec estáticos con conjuntos de servicios de estilo de siguiente salto e interfaz
Sin embargo, en Junos OS versión 13.2, la compatibilidad de Junos VPN Site Secure en MS-MIC y MS-MPC se limita al tráfico IPv4. La tunelización pasiva de módulos no se admite en MS-MICs y MS-MPCs.
La figura 2 muestra la topología del túnel VPN IPsec.

En este ejemplo se muestra la configuración de dos enrutadores, el enrutador 1 y el enrutador 2, que tienen un túnel VPN IPsec configurado entre ellos.
Al configurar los enrutadores, tenga en cuenta los siguientes puntos:
La dirección IP que configure en el nivel de jerarquía del enrutador 1 debe ser la misma que la dirección IP para la que configure en la misma jerarquía en
source-address
destination-address
el[edit services ipsec-vpn rule name term term from]
enrutador 2, y viceversa.La dirección IP del que configure en el nivel de jerarquía debe coincidir con la dirección IP del que configure en el
[edit services service-set name ipsec-vpn-options]
[edit services ipsec-vpn rule name term term then]
nivel de jerarquía delremote-gateway
local-gateway
enrutador 2, y viceversa.
Configuración
Esta sección contiene:
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].
Configuración de interfaces en el enrutador 1
set interfaces ms-4/0/0 unit 0 family inet set interfaces ms-4/0/0 unit 1 family inet set interfaces ms-4/0/0 unit 1 family inet6 set interfaces ms-4/0/0 unit 1 service-domain inside set interfaces ms-4/0/0 unit 2 family inet set interfaces ms-4/0/0 unit 2 family inet6 set interfaces ms-4/0/0 unit 2 service-domain outside set interfaces xe-0/2/0 unit 0 family inet address 10.0.1.1/30
Configuración del servicio VPN IPsec en el enrutador 1
set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from source-address 172.16.0.0/16 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from destination-address 192.168.0.0/16 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then remote-gateway 10.0.1.2 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ike-policy ike_policy_ms_4_0_0 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_4_0_0 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then anti-replay-window-size 4096 set services ipsec-vpn rule vpn_rule_ms_4_0_01 match-direction input set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 proposals ipsec_proposal_ms_4_0_0 set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 dh-group group2 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 version 2 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 proposals ike_proposal_ms_4_0_0 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 pre-shared-key ascii-text secret-data
Configuración de un conjunto de servicios en el enrutador 1
set services service-set ipsec_ss_ms_4_0_01 next-hop-service inside-service-interface ms-4/0/0.1 set services service-set ipsec_ss_ms_4_0_01 next-hop-service outside-service-interface ms-4/0/0.2 set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-options local-gateway 10.0.1.1 set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-rules vpn_rule_ms_4_0_01
Configuración de las opciones de enrutamiento en el enrutador 1
set routing-options static route 192.168.0.0/16 next-hop ms-4/0/0.1
Configuración de interfaces en el enrutador 2
set interfaces ms-1/0/0 unit 0 family inet set interfaces ms-1/0/0 unit 1 family inet set interfaces ms-1/0/0 unit 1 family inet6 set interfaces ms-1/0/0 unit 1 service-domain inside set interfaces ms-1/0/0 unit 2 family inet set interfaces ms-1/0/0 unit 2 family inet6 set interfaces ms-1/0/0 unit 2 service-domain outside set interfaces ge-2/0/0 unit 0 family inet address 10.0.1.2/30
Configuración del servicio VPN IPsec en el enrutador 2
set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from source-address 192.168.0.0/16 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from destination-address 172.16.0.0/16 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then remote-gateway 10.0.1.1 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ike-policy ike_policy_ms_5_2_0 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_5_2_0 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then anti-replay-window-size 4096 set services ipsec-vpn rule vpn_rule_ms_5_2_01 match-direction input set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 proposals ipsec_proposal_ms_5_2_0 set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 dh-group group2 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 version 2 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 proposals ike_proposal_ms_5_2_0 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 pre-shared-key ascii-text secret-data set services ipsec-vpn establish-tunnels immediately
Configuración de un conjunto de servicios en el enrutador 2
set services service-set ipsec_ss_ms_5_2_01 next-hop-service inside-service-interface ms-1/0/0.1 set services service-set ipsec_ss_ms_5_2_01 next-hop-service outside-service-interface ms-1/0/0.2 set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-options local-gateway 10.0.1.2 set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-rules vpn_rule_ms_5_2_01
Configuración de las opciones de enrutamiento en el enrutador 2
set routing-options static route 172.16.0.0/16 next-hop ms-1/0/0.1
Configuración del enrutador 1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
A partir de la versión 13.2, los paquetes del proveedor de extensiones de Junos OS vienen preinstalados en las MIC y MPC de varios servicios (MS-MIC y MS-MPC). La adaptive-services
configuración en el nivel de [edit chassis fpc number pic number]
jerarquía está preconfigurada en estas tarjetas.
Configure las propiedades de la interfaz, como familia, dominio de servicio y unidad.
user@router1# set interfaces ms-4/0/0 unit 0 family inet user@router1# set interfaces ms-4/0/0 unit 1 family inet user@router1# set interfaces ms-4/0/0 unit 1 family inet6 user@router1# set interfaces ms-4/0/0 unit 1 service-domain inside user@router1# set interfaces ms-4/0/0 unit 2 family inet user@router1# set interfaces ms-4/0/0 unit 2 family inet6 user@router1# set interfaces ms-4/0/0 unit 2 service-domain outside user@router1# set interfaces xe-0/2/0 unit 0 family inet address 10.0.1.1/30
Configure las propiedades de IPsec, como la dirección, la puerta de enlace remota, las directivas, la dirección de coincidencia, el protocolo, el tamaño de la ventana de reproducción, los detalles del algoritmo, las claves de secreto, la propuesta, el método de autenticación, los grupos y la versión.
user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from source-address 172.16.0.0/16 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from destination-address 192.168.0.0/16 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then remote-gateway 10.0.1.2 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ike-policy ike_policy_ms_4_0_0 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_4_0_0 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then anti-replay-window-size 4096 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 match-direction input user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 protocol esp user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 authentication-algorithm hmac-sha1-96 user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 encryption-algorithm 3des-cbc user@router1# set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 perfect-forward-secrecy keys group2 user@router1# set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 proposals ipsec_proposal_ms_4_0_0 user@router1# set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 authentication-method pre-shared-keys user@router1# set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 dh-group group2 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 version 2 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 proposals ike_proposal_ms_4_0_0 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 pre-shared-key ascii-text secret-key
Configure un conjunto de servicios, las opciones y reglas de ipsec-vpn.
user@router1# set services service-set ipsec_ss_ms_4_0_01 next-hop-service inside-service-interface ms-4/0/0.1 user@router1# set services service-set ipsec_ss_ms_4_0_01 next-hop-service outside-service-interface ms-4/0/0.2 user@router1# set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-options local-gateway 10.0.1.1 user@router1# set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-rules vpn_rule_ms_4_0_01
Configure las opciones de enrutamiento, ruta estática y próximo salto.
user@router1# set routing-options static route 192.168.0.0/16 next-hop ms-4/0/0.1
Resultados
Desde el modo de configuración del enrutador 1, confirme la configuración introduciendo los show interfaces
comandos , show services ipsec-vpn
y show services service-set
. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@router1# show interfaces ms-4/0/0{ unit 0 { family inet; } unit 1 { family inet; family inet6; service-domain inside; } unit 2 { family inet; family inet6; service-domain outside; } } xe-0/2/0 { unit 0 { family inet { address 10.0.1.1/30; } } }
user@router1# show services ipsec-vpn rule vpn_rule_ms_4_0_01 { term term11 { from { source-address { 172.16.0.0/16; } destination-address { 192.168.0.0/16; } } then { remote-gateway 10.0.1.2; dynamic { ike-policy ike_policy_ms_4_0_0; ipsec-policy ipsec_policy_ms_4_0_0; } anti-replay-window-size 4096; } } match-direction input; } ipsec { proposal ipsec_proposal_ms_4_0_0 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_policy_ms_4_0_0 { perfect-forward-secrecy { keys group2; } proposals ipsec_proposal_ms_4_0_0; } } ike { proposal ike_proposal_ms_4_0_0 { authentication-method pre-shared-keys; dh-group group2; } policy ike_policy_ms_4_0_0 { version 2; proposals ike_proposal_ms_4_0_0; pre-shared-key ascii-text "$9ABC123"; ## SECRET-DATA } }
user@router1# show services service-set ipsec_ss_ms_4_0_01 { next-hop-service { inside-service-interface ms-4/0/0.1; outside-service-interface ms-4/0/0.2; } ipsec-vpn-options { local-gateway 10.0.1.1; } ipsec-vpn-rules vpn_rule_ms_4_0_01; }
Configuración del enrutador 2
Procedimiento paso a paso
Configure las propiedades de la interfaz, como familia, dominio de servicio y unidad.
user@router2# set interfaces ms-1/0/0 services-options inactivity-non-tcp-timeout 600 user@router2# set interfaces ms-1/0/0 unit 0 family inet user@router2# set interfaces ms-1/0/0 unit 1 family inet user@router2# set interfaces ms-1/0/0 unit 1 family inet6 user@router2# set interfaces ms-1/0/0 unit 1 service-domain inside user@router2# set interfaces ms-1/0/0 unit 2 family inet user@router2# set interfaces ms-1/0/0 unit 2 family inet6 user@router2# set interfaces ms-1/0/0 unit 2 service-domain outside user@router2# set interfaces ge-2/0/0 unit 0 family inet adddress 10.0.1.2/30
Configure las propiedades de IPsec, como la dirección, la puerta de enlace remota, las directivas, la dirección de coincidencia, el protocolo, el tamaño de la ventana de reproducción, los detalles del algoritmo, las claves de secreto, la propuesta, el método de autenticación, los grupos y la versión.
user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from source-address 192.168.0.0/16 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from destination-address 172.16.0.0/16 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then remote-gateway 10.0.1.1 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ike-policy ike_policy_ms_5_2_0 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_5_2_0 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then anti-replay-window-size 4096 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 match-direction input user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 protocol esp user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 authentication-algorithm hmac-sha1-96 user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 encryption-algorithm 3des-cbc user@router2# set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 perfect-forward-secrecy keys group2 user@router2# set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 proposals ipsec_proposal_ms_5_2_0 user@router2# set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 authentication-method pre-shared-keys user@router2# set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 dh-group group2 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 version 2 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 proposals ike_proposal_ms_5_2_0 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 pre-shared-key ascii-text "$ABC123" user@router2# set services ipsec-vpn establish-tunnels immediately
Configure un conjunto de servicios como next-hop-service y ipsec-vpn-options.
user@router2# set services service-set ipsec_ss_ms_5_2_01 next-hop-service inside-service-interface ms-1/0/0.1 user@router2# set services service-set ipsec_ss_ms_5_2_01 next-hop-service outside-service-interface ms-1/0/0.2 user@router2# set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-options local-gateway 10.0.1.2 user@router2# set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-rules vpn_rule_ms_5_2_01
Configure las opciones de enrutamiento, ruta estática y el siguiente salto.
user@router2# set routing-options static route 172.16.0.0/16 next-hop ms-1/0/0.1
Resultados
Desde el modo de configuración del enrutador 2, introduzca los comandos , y show services service-set
para confirmar show interfaces
la configuración. show services ipsec-vpn
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@router2# show interfaces ms-1/0/0 { unit 0 { family inet; } unit 1 { family inet; family inet6; service-domain inside; } unit 2 { family inet; family inet6; service-domain outside; } } ge-2/0/0 { unit 0 { family inet { address 10.0.1.2/30; } } }
user@router2# show services ipsec-vpn rule vpn_rule_ms_5_2_01 { term term11 { from { source-address { 192.168.0.0/16; } destination-address { 172.16.0.0/16; } } then { remote-gateway 10.0.1.1; dynamic { ike-policy ike_policy_ms_5_2_0; ipsec-policy ipsec_policy_ms_5_2_0; } anti-replay-window-size 4096; } } match-direction input; } ipsec { proposal ipsec_proposal_ms_5_2_0 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_policy_ms_5_2_0 { perfect-forward-secrecy { keys group2; } proposals ipsec_proposal_ms_5_2_0; } } ike { proposal ike_proposal_ms_5_2_0 { authentication-method pre-shared-keys; dh-group group2; } policy ike_policy_ms_5_2_0 { version 2; proposals ike_proposal_ms_5_2_0; pre-shared-key ascii-text "$9ABC123"; ## SECRET-DATA } } establish-tunnels immediately;
user@router2# show services service-set ipsec_ss_ms_5_2_01 { next-hop-service { inside-service-interface ms-1/0/0.1; outside-service-interface ms-1/0/0.2; } ipsec-vpn-options { local-gateway 10.0.1.2; } ipsec-vpn-rules vpn_rule_ms_5_2_01; }
user@router2 #show routing-options static { route 172.16.0.0/16 next-hop ms-1/0/0.1; }
Verificación
- Verificación de la creación de túneles
- Comprobación del flujo de tráfico a través del túnel DEP
- Comprobación de asociaciones de seguridad IPsec para el conjunto de servicios
Verificación de la creación de túneles
Propósito
Compruebe que se han creado puntos finales dinámicos.
Acción
Ejecute el siguiente comando en el enrutador 1:
user@router1 >show services ipsec-vpn ipsec security-associations detail Service set: ipsec_ss_ms_4_0_01, IKE Routing-instance: default Rule: vpn_rule_ms_4_0_01, Term: term11, Tunnel index: 1 Local gateway: 10.0.1.1, Remote gateway: 10.0.1.2 IPSec inside interface: ms-4/0/0.1, Tunnel MTU: 1500 Local identity: ipv4_subnet(any:0,[0..7]=172.16.0.0/16) Remote identity: ipv4_subnet(any:0,[0..7]=192.168.0.0/16) Direction: inbound, SPI: 112014862, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 24556 seconds Hard lifetime: Expires in 25130 seconds Anti-replay service: Enabled, Replay window size: 4096 Direction: outbound, SPI: 1469281276, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 24556 seconds Hard lifetime: Expires in 25130 seconds Anti-replay service: Enabled, Replay window size: 4096
Significado
El resultado muestra que las SA IPSec están activas en el enrutador con su estado como Instalado. El túnel IPSec está activo y listo para enviar tráfico a través del túnel.
Comprobación del flujo de tráfico a través del túnel DEP
Propósito
Compruebe el flujo de tráfico a través del túnel DEP recién creado.
Acción
Ejecute el siguiente comando en el enrutador 2:
user@router2> show services ipsec-vpn ipsec statistics PIC: ms-1/0/0, Service set: ipsec_ss_ms_5_2_01 ESP Statistics: Encrypted bytes: 153328 Decrypted bytes: 131424 Encrypted packets: 2738 Decrypted packets: 2738 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0 ESP authentication failures: 0 ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Replay before window drops: 0, Replayed pkts: 0 IP integrity errors: 0, Exceeds tunnel MTU: 0 Rule lookup failures: 0, No SA errors: 0 Flow errors: 0, Misc errors: 0
Comprobación de asociaciones de seguridad IPsec para el conjunto de servicios
Propósito
Compruebe que las asociaciones de seguridad configuradas para el conjunto de servicios funcionan correctamente.
Acción
Ejecute el siguiente comando en el enrutador 2:
user@router2> show services ipsec-vpn ipsec security-associations ipsec_ss_ms_5_2_01 Service set: ipsec_ss_ms_5_2_01, IKE Routing-instance: default Rule: vpn_rule_ms_5_2_01, Term: term11, Tunnel index: 1 Local gateway: 10.0.1.2., Remote gateway: 10.0.1.1 IPSec inside interface: ms-1/0/0.1, Tunnel MTU: 1500 Direction SPI AUX-SPI Mode Type Protocol inbound 1612447024 0 tunnel dynamic ESP outbound 1824720964 0 tunnel dynamic ESP
Ejemplo: configuración de túneles IPsec asignados estáticamente a través de una instancia de VRF
En este ejemplo se muestra cómo configurar un túnel IPsec asignado estáticamente a través de una instancia de VRF y se muestran las siguientes secciones:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Enrutador serie M, MX o serie T que está configurado como enrutador perimetral de proveedor.
Junos OS versión 9.4 y posteriores.
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.
Visión general
Junos OS permite configurar túneles IPsec asignados estáticamente en instancias de enrutamiento y reenvío virtual (VRF). La capacidad de configurar túneles IPsec en instancias VRF mejora la segmentación y la seguridad de la red. Puede tener varios túneles de cliente configurados en el mismo enrutador PE a través de instancias VRF. Cada instancia de VRF actúa como enrutador lógico con una tabla de enrutamiento exclusiva.
Configuración
En este ejemplo se muestra la configuración de un túnel IPsec a través de una instancia de VRF en un enrutador perimetral de proveedor y se proporcionan instrucciones paso a paso para completar la configuración necesaria.
Esta sección contiene:
Configuración del enrutador perimetral del proveedor
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].
set interfaces ge-0/3/0 unit 0 family inet address 10.6.6.6/32 set interfaces ge-1/1/0 description "teller ge-0/1/0" set interfaces ge-1/1/0 unit 0 family inet address 10.21.1.1/16 set interfaces ms-1/2/0 unit 0 family inet address 10.7.7.7/32 set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set policy-options policy-statement vpn-export then community add vpn-community set policy-options policy-statement vpn-export then accept set policy-options policy-statement vpn-import term a from community vpn-community set policy-options policy-statement vpn-import term a then accept set policy-options community vpn-community members target:100:20 set routing-instances vrf instance-type vrf set routing-instances vrf interface ge-0/3/0.0 set routing-instances vrf interface ms-1/2/0.1 set routing-instances vrf route-distinguisher 192.168.0.1:1 set routing-instances vrf vrf-import vpn-import set routing-instances vrf vrf-export vpn-export set routing-instances vrf routing-options static route 10.0.0.0/0 next-hop ge-0/3/0.0 set routing-instances vrf routing-options static route 10.11.11.1/32 next-hop ge-0/3/0.0 set routing-instances vrf routing-options static route 10.8.8.1/32 next-hop ms-1/2/0.1 set services ipsec-vpn ipsec proposal demo_ipsec_proposal protocol esp set services ipsec-vpn ipsec proposal demo_ipsec_proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal demo_ipsec_proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy demo_ipsec_policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy demo_ipsec_policy proposals demo_ipsec_proposal set services ipsec-vpn ike proposal demo_ike_proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal demo_ike_proposal dh-group group2 set services ipsec-vpn ike policy demo_ike_policy proposals demo_ike_proposal set services ipsec-vpn ike policy demo_ike_policy pre-shared-key ascii-text juniperkey set services ipsec-vpn rule demo-rule term demo-term then remote-gateway 10.21.2.1 set services ipsec-vpn rule demo-rule term demo-term then dynamic ike-policy demo_ike_policy set services ipsec-vpn rule demo-rule match-direction input set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.21.1.1 set services service-set demo-service-set ipsec-vpn-rules demo-rule
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar un túnel IPsec asignado estáticamente en una instancia de VRF:
Configure las interfaces. En este paso, configurará dos interfaces Ethernet (), una interfaz de servicios (
ge
ms-
) y también las propiedades de dominio de servicio para las interfaces lógicas de la interfaz de servicios. Tenga en cuenta que la interfaz lógica marcada como interfaz interna aplica el servicio configurado en el tráfico, mientras que la que está marcada como interfaz externa actúa como punto de salida para el tráfico en el que la interfaz interna ha aplicado el servicio.[edit interfaces] user@PE1# set ge-0/3/0 unit 0 family inet address 10.6.6.6/32 user@PE1# set ge-1/1/0 description "teller ge-0/1/0" user@PE1# set ge-1/1/0 unit 0 family inet address 10.21.1.1/16 user@PE1# set ms-1/2/0 unit 0 family inet address 10.7.7.7/32 user@PE1# set ms-1/2/0 unit 1 family inet user@PE1# set ms-1/2/0 unit 1 service-domain inside user@PE1# set ms-1/2/0 unit 2 family inet user@PE1# set ms-1/2/0 unit 2 service-domain outside
Configure una política de enrutamiento para especificar los criterios de importación y exportación de rutas para la instancia de VRF. Se hace referencia a las políticas de importación y exportación definidas en este paso desde la configuración de la instancia de enrutamiento en el siguiente paso.
[edit policy-options] user@PE1# set policy-statement vpn-export then community add vpn-community user@PE1# set policy-statement vpn-export then accept user@PE1# set policy-statement vpn-import term a from community vpn-community user@PE1# set policy-statement vpn-import term a then accept user@PE1# set community vpn-community members target:100:20
Configure una instancia de enrutamiento y especifique el tipo de instancia de enrutamiento como
vrf
. Aplique las directivas de importación y exportación definidas en el paso anterior a la instancia de enrutamiento y especifique una ruta estática para enviar el tráfico IPsec a la interfaz interna (ms-1/2/0.1
) configurada en el primer paso.[edit routing-instance] user@PE1# set vrf instance-type vrf user@PE1# set vrf interface ge-0/3/0.0 user@PE1# set vrf interface ms-1/2/0.1 user@PE1# set vrf route-distinguisher 192.168.0.1:1 user@PE1# set vrf vrf-import vpn-import user@PE1# set vrf vrf-export vpn-export user@PE1# set vrf routing-options static route 10.0.0.0/0 next-hop ge-0/3/0.0 user@PE1# set vrf routing-options static route 10.11.11.1/32 next-hop ge-0/3/0.0 user@PE1# set vrf routing-options static route 10.8.8.1/32 next-hop ms-1/2/0.1
Configure las propuestas y políticas de IKE e IPsec, y una regla para aplicar la política de IKE al tráfico entrante.
Nota:De forma predeterminada, Junos OS utiliza la versión 1.0 de la política IKE. Junos OS versión 11.4 y posteriores también admiten la versión 2.0 de la directiva IKE, que debe configurar en
[edit services ipsec-vpn ike policy policy-name pre-shared]
.[edit services] user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal protocol esp user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal authentication-algorithm hmac-sha1-96 user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal encryption-algorithm 3des-cbc user@PE1# set ipsec-vpn ipsec policy demo_ipsec_policy perfect-forward-secrecy keys group2 user@PE1# set ipsec-vpn ipsec policy demo_ipsec_policy proposals demo_ipsec_proposal user@PE1# set ipsec-vpn ike proposal demo_ike_proposal authentication-method pre-shared-keys user@PE1# set ipsec-vpn ike proposal demo_ike_proposal dh-group group2 user@PE1# set ipsec-vpn ike policy demo_ike_policy proposals demo_ike_proposal user@PE1# set ipsec-vpn ike policy demo_ike_policy pre-shared-key ascii-text juniperkey user@PE1# set ipsec-vpn rule demo-rule term demo-term then remote-gateway 10.21.2.1 user@PE1# set ipsec-vpn rule demo-rule term demo-term then dynamic ike-policy demo_ike_policy user@PE1# set ipsec-vpn rule demo-rule match-direction input
Configure un conjunto de servicios de estilo de salto siguiente. Tenga en cuenta que debe configurar las interfaces interna y externa que configuró en el primer paso como y
inside-service-interface
outside-service-interface
respectivamente.[edit services] user@PE1# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@PE1# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@PE1# set service-set demo-service-set ipsec-vpn-options local-gateway 10.21.1.1 user@PE1# set service-set demo-service-set ipsec-vpn-rules demo-rule
Confirme la configuración.
[edit] user@PE1# commit
Resultados
Desde el modo de configuración del enrutador 1, confirme la configuración introduciendo los show interfaces
comandos , , show routing-instances
show services ipsec-vpn
, show policy-options
y show services service-set
. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@PE1# show interfaces ... ms-1/2/0 { unit 0 { family inet { address 10.7.7.7/32; } } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } ge-0/3/0 { unit 0 { family inet { address 10.6.6.6/32; } } } ge-1/1/0 { description "teller ge-0/1/0"; unit 0 { family inet { address 10.21.1.1/16; } } } ...
user@PE1# show policy-options policy-statement vpn-export { then { community add vpn-community; accept; } } policy-statement vpn-import { term a { from community vpn-community; then accept; } } community vpn-community members target:100:20;
user@PE1# show routing-instances vrf { instance-type vrf; interface ge-0/3/0.0; interface ms-1/2/0.1; route-distinguisher 192.168.0.1:1; vrf-import vpn-import; vrf-export vpn-export; routing-options { static { route 10.0.0.0/0 next-hop ge-0/3/0.0; route 10.11.11.1/32 next-hop ge-0/3/0.0; route 10.8.8.1/32 next-hop ms-1/2/0.1; } } }
user@PE1# show services ipsec-vpn ipsec-vpn { rule demo-rule { term demo-term { then { remote-gateway 10.21.2.1; dynamic { ike-policy demo_ike_policy; } } } match-direction input; } ipsec { proposal demo_ipsec_proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy demo_ipsec_policy { perfect-forward-secrecy { keys group2; } proposals demo_ipsec_proposal; } } ike { proposal demo_ike_proposal { authentication-method pre-shared-keys; dh-group group2; } policy demo_ike_policy { proposals demo_ike_proposal; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } } }
user@PE1# show services service-set demo-service-set next-hop-service { inside-service-interface ms-1/2/0.1; outside-service-interface ms-1/2/0.2; } ipsec-vpn-options { local-gateway 10.21.1.1; } ipsec-vpn-rules demo-rule;
Ejemplo multitarea: configuración de servicios IPsec
Las siguientes instrucciones basadas en ejemplos muestran cómo configurar los servicios IPsec. La configuración implica la definición de una política de IKE, una política de IPsec, reglas de IPsec, opciones de seguimiento y conjuntos de servicios.
En este tema se incluyen las siguientes tareas:
- Configuración de la propuesta de IKE
- Configuración de la política de IKE (y referencia a la propuesta de ICR)
- Configuración de la propuesta IPsec
- Configuración de la directiva IPsec (y referencia a la propuesta IPsec)
- Configuración de la regla IPsec (y referencia a las directivas IKE e IPsec)
- Configuración de las opciones de seguimiento de IPsec
- Configuración del perfil de acceso (y referencia a las políticas IKE e IPsec)
- Configuración del conjunto de servicios (y referencia al perfil de IKE y a la regla IPsec)
Configuración de la propuesta de IKE
La configuración de la propuesta de IKE define los algoritmos y las claves utilizados para establecer la conexión IKE segura con la puerta de enlace de seguridad del mismo nivel. Para obtener más información acerca de las propuestas de IKE, consulte Configuración de propuestas de IKE.
Para definir la propuesta de IKE:
El siguiente resultado de ejemplo muestra la configuración de la propuesta de IKE:
[edit services ipsec-vpn] user@host# show ike proposal test-IKE-proposal { authentication-method pre-shared-keys; dh-group group1; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; }
Ver también
Configuración de la política de IKE (y referencia a la propuesta de ICR)
La configuración de políticas de IKE define la propuesta, el modo, las direcciones y otros parámetros de seguridad utilizados durante la negociación de IKE. Para obtener más información acerca de las políticas de IKE, consulte Configuración de directivas de IKE.
Para definir la política de IKE y hacer referencia a la propuesta de IKE:
El siguiente resultado de ejemplo muestra la configuración de la política de IKE:
[edit services ipsec-vpn] user@host# show ike policy test-IKE-policy { mode main; proposals test-IKE-proposal; local-id ipv4_addr 192.168.255.2; pre-shared-key ascii-text TEST; }
Configuración de la propuesta IPsec
La configuración de propuesta de IPsec define los protocolos y algoritmos (servicios de seguridad) necesarios para negociar con el par IPsec remoto. Para obtener más información acerca de las propuestas de IPsec, consulte Configuración de propuestas de IPsec.
Para definir la propuesta IPsec:
El siguiente resultado de ejemplo muestra la configuración de la propuesta IPsec:
[edit services ipsec-vpn] user@host# show ike proposal test-IPsec-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; }
Ver también
Configuración de la directiva IPsec (y referencia a la propuesta IPsec)
La configuración de directiva IPsec define una combinación de parámetros de seguridad (propuestas IPsec) que se usan durante la negociación de IPsec. Define PFS y las propuestas necesarias para la conexión. Para obtener más información acerca de las directivas IPsec, consulte Configuración de directivas IPsec.
Para definir la directiva IPsec y hacer referencia a la propuesta IPsec:
El siguiente resultado de ejemplo muestra la configuración de la directiva IPsec:
[edit services ipsec-vpn] user@host# show ipsec policy test-IPsec-policy perfect-forward-secrecy { keys group1; } proposals test-IPsec-proposal;
Ver también
Configuración de la regla IPsec (y referencia a las directivas IKE e IPsec)
La configuración de la regla IPsec define la dirección que especifica si la coincidencia se aplica en el lado de entrada o de salida de la interfaz. La configuración también consta de un conjunto de términos que especifican las condiciones de coincidencia y las aplicaciones que se incluyen y excluyen y también especifican las acciones y los modificadores de acciones que debe realizar el software del enrutador. Para obtener más información acerca de las reglas IPsec, consulte Configurar reglas IPsec.
Para definir la regla IPsec y hacer referencia a las políticas de IKE e IPsec:
El siguiente resultado de ejemplo muestra la configuración de la regla IPsec:
[edit services ipsec-vpn] user@host# show rule test-IPsec-rule term 10 { from { destination-address { 192.168.255.2/32; } } then { remote-gateway 0.0.0.0; dynamic { ike-policy test-IKE-policy; ipsec-policy test-IPsec-policy; } } } match-direction input;
Configuración de las opciones de seguimiento de IPsec
La configuración de opciones de seguimiento de IPsec realiza un seguimiento de los eventos IPsec y los registra en un archivo de registro en el directorio / var/log . De forma predeterminada, este archivo se denomina / var/log/kmd. Para obtener más información acerca de las reglas IPsec, consulte Seguimiento de operaciones seguras de sitio de Junos VPN.
Para definir las opciones de seguimiento de IPsec:
La siguiente salida de ejemplo muestra la configuración de las opciones de seguimiento de IPsec:
[edit services ipsec-vpn] user@host# show traceoptions file ipsec.log; flag all;
Configuración del perfil de acceso (y referencia a las políticas IKE e IPsec)
La configuración del perfil de acceso define el perfil de acceso y hace referencia a las políticas de IKE e IPsec. Para obtener más información sobre el perfil de acceso, consulte Configuración de un perfil de acceso IKE.
Para definir el perfil de acceso y hacer referencia a las políticas de IKE e IPsec:
El siguiente resultado de ejemplo muestra la configuración del perfil de acceso:
[edit access] user@host# show profile IKE-profile-TEST { client * { ike { allowed-proxy-pair local 10.0.0.0/24 remote 10.0.1.0/24; ike-policy test-IKE-policy; ipsec-policy test-IPsec-policy; # new statement interface-id TEST-intf; } } }
Ver también
Configuración del conjunto de servicios (y referencia al perfil de IKE y a la regla IPsec)
La configuración del conjunto de servicios define conjuntos de servicios IPsec que requieren especificaciones adicionales y hace referencia al perfil IKE y a la regla IPsec. Para obtener más información acerca de los conjuntos de servicios IPsec, consulte Configurar conjuntos de servicios IPsec.
Para definir la configuración del conjunto de servicios con los conjuntos de servicios del próximo salto y las opciones de VPN IPsec:
El siguiente resultado de ejemplo muestra la configuración del conjunto de servicios que hace referencia al perfil de IKE y a la regla IPsec:
[edit services]user@host# show service-set TEST next-hop-service { inside-service-interface sp-1/2/0.1; outside-service-interface sp-1/2/0.2; } ipsec-vpn-options { local-gateway 192.168.255.2; ike-access-profile IKE-profile-TEST; } ipsec-vpn-rules test-IPsec-rule;
Ver también
Deshabilitar NAT-T en enrutadores de la serie MX para manejar NAT con paquetes protegidos por IPsec
Antes de Junos OS versión 17.4R1, la traslación de direcciones de red (NAT-T) no era compatible con el conjunto de funciones IPsec de Junos VPN Site Secure en los enrutadores de la serie MX. De forma predeterminada, Junos OS detecta si alguno de los túneles IPsec está detrás de un dispositivo NAT y cambia automáticamente al uso de NAT-T para el tráfico protegido. Para evitar ejecutar NAT-T no compatible en versiones de Junos OS anteriores a 17.4R1, debe deshabilitar NAT-T incluyendo la disable-natt
instrucción en el nivel de [edit services ipsec-vpn]
jerarquía. Cuando se deshabilita NAT-T, la funcionalidad NAT-T se desactiva globalmente. Cuando se deshabilita NAT-T y hay un dispositivo NAT presente entre las dos puertas de enlace IPsec, los mensajes ISAKMP se negocian mediante el puerto UDP 500 y los paquetes de datos se encapsulan con carga de seguridad de encapsulación (ESP).
Network Address Translation-Traversal (NAT-T) es un método para evitar los problemas de traducción de direcciones IP que se producen cuando los datos protegidos por IPsec pasan a través de un dispositivo NAT para la traducción de direcciones. Cualquier cambio en el direccionamiento IP, que es la función de NAT, hace que IKE descarte paquetes. Después de detectar uno o más dispositivos NAT a lo largo de la ruta de datos durante los intercambios de fase 1, NAT-T agrega una capa de encapsulación del Protocolo de datagramas de usuario (UDP) a los paquetes IPsec para que no se descarten después de la traducción de direcciones. NAT-T encapsula el tráfico IKE y ESP dentro de UDP con el puerto 4500 utilizado como puerto de origen y destino. Debido a que los dispositivos NAT caducan las traducciones UDP obsoletas, se requieren mensajes keepalive entre los pares.
La ubicación de un dispositivo NAT puede ser tal que:
Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo NAT. Múltiples iniciadores pueden estar detrás de dispositivos NAT separados. Los iniciadores también pueden conectarse al respondedor a través de varios dispositivos NAT.
Solo el respondedor IKEv1 o IKEv2 está detrás de un dispositivo NAT.
Tanto el iniciador IKEv1 o IKEv2 como el respondedor están detrás de un dispositivo NAT.
La VPN de punto de conexión dinámica cubre la situación en la que la dirección externa del IKE del iniciador no es fija y, por lo tanto, el respondedor no la conoce. Esto puede ocurrir cuando un ISP asigna dinámicamente la dirección del iniciador o cuando la conexión del iniciador cruza un dispositivo NAT dinámico que asigna direcciones de un grupo de direcciones dinámicas.
Se proporcionan ejemplos de configuración para NAT-T para la topología en la que solo el respondedor está detrás de un dispositivo NAT y la topología en la que tanto el iniciador como el respondedor están detrás de un dispositivo NAT. La configuración de puerta de enlace IKE de sitio a sitio para NAT-T es compatible tanto con el iniciador como con el respondedor. Un ID de IKE remoto se utiliza para validar el ID de IKE local de un par durante la fase 1 de la negociación del túnel de IKE. Tanto el iniciador como el respondedor requieren una cadena de identidad local y una cadena de identidad remota.
Ver también
Rastreo de operaciones seguras del sitio de Junos VPN
Junos VPN Site Secure es un conjunto de características IPsec compatibles con tarjetas de línea multiservicios (MS-DPC, MS-MPC y MS-MIC) y anteriormente se denominaba servicios IPsec.
Las operaciones de seguimiento rastrean eventos IPsec y los registran en un archivo de registro en el /var/log
directorio. De forma predeterminada, este archivo se denomina /var/log/kmd
.
Para realizar un seguimiento de las operaciones IPsec, incluya la traceoptions
instrucción en el nivel de [edit services ipsec-vpn]
jerarquía:
[edit services ipsec-vpn] traceoptions { file <filename> <files number> <match regular-expression> <size bytes> <world-readable | no-world-readable>; flag flag; level level; no-remote-trace; }
Puede especificar los siguientes indicadores de seguimiento IPsec:
all
—Rastrea todo.certificates
: rastrea eventos de certificados.database
: rastrea eventos de bases de datos de asociaciones de seguridad.general
—Realizar un seguimiento de eventos generales.ike
—Seguimiento del procesamiento del módulo IKE.parse
—Procesamiento de la configuración de trazas.policy-manager
—Procesamiento del gestor de políticas de seguimiento.routing-socket
: Mensajes de socket de enrutamiento de seguimiento.snmp
: rastrea las operaciones SNMP.timer
: realiza un seguimiento de los eventos del temporizador interno.
La level
instrucción establece el nivel de seguimiento del proceso de administración de claves (kmd). Se admiten los siguientes valores:
all
—Combina todos los niveles.error
—Coincide con las condiciones de error.info
–Hacer coincidir los mensajes informativos.notice
—Condiciones de coincidencia que deben manejarse especialmente.verbose
: hace coincidir mensajes detallados.warning
: coincide con los mensajes de advertencia.
Esta sección incluye los siguientes temas:
Deshabilitar el extremo de túnel IPsec en Traceroute
Si incluye la no-ipsec-tunnel-in-traceroute
instrucción en el nivel de jerarquía, el túnel IPsec no se trata como un salto siguiente y el tiempo de [edit services ipsec-vpn]
vida (TTL) no disminuye. Además, si el TTL llega a cero, no se genera un mensaje ICMP en el tiempo excedido.
[edit services ipsec-vpn] no-ipsec-tunnel-in-traceroute;
Esta funcionalidad también viene proporcionada por la passive-mode-tunneling
instrucción. Puede utilizar la instrucción en escenarios específicos en los que el túnel IPsec no debe tratarse como un salto siguiente y no se desea el no-ipsec-tunnel-in-traceroute
modo pasivo.
Seguimiento de operaciones PKI IPsec
Las operaciones de seguimiento rastrean los eventos PKI de IPsec y los registran en un archivo de registro en el /var/log
directorio. De forma predeterminada, este archivo se denomina /var/log/pkid
.
Para realizar un seguimiento de las operaciones de PKI IPsec, incluya la traceoptions
instrucción en el nivel de [edit security pki]
jerarquía:
[edit security pki] traceoptions { file filename <files number> <match regular-expression> <size maximum-file-size> <world-readable | no-world-readable>; flag flag (all | certificate-verification | enrollment | online-crl-check); }
Puede especificar los siguientes indicadores de seguimiento de PKI:
all
—Rastrea todo.certificates
: rastrea eventos de certificados.database
: rastrea eventos de bases de datos de asociaciones de seguridad.general
—Realizar un seguimiento de eventos generales.ike
—Seguimiento del procesamiento del módulo IKE.parse
—Procesamiento de la configuración de trazas.policy-manager
—Procesamiento del gestor de políticas de seguimiento.routing-socket
: Mensajes de socket de enrutamiento de seguimiento.snmp
: rastrea las operaciones SNMP.timer
: realiza un seguimiento de los eventos del temporizador interno.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
gw-interface
limpieza de desencadenadores IKE y SA IKE e IPsec cuando la dirección IP de puerta de enlace local de un túnel IPsec deja de funcionar o cuando MS-MIC o MS-MPC que se utiliza en el conjunto de servicios del túnel deja de funcionar.
ipsec-inside-interface interface-name
instrucción en el nivel de
[edit services ipsec-vpn rule rule-name term term-name from]
jerarquía.
header-integrity-check
tunelización en modo pasivo.