Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Conjuntos de servicios para túneles IPsec de punto de conexión estático

Conjuntos de servicios

La PIC de servicios adaptables admite dos tipos de conjuntos de servicios cuando se configuran túneles IPSec. Dado que se utilizan para diferentes propósitos, es importante conocer las diferencias entre estos tipos de conjuntos de servicios.

  • Conjunto de servicios de siguiente salto: admite protocolos de enrutamiento dinámico de multidifusión y estilo multidifusión (como OSPF) mediante IPSec. Los conjuntos de servicios de salto siguiente le permiten usar interfaces lógicas internas y externas en la PIC de servicios adaptables para conectarse con varias instancias de enrutamiento. También permiten el uso de la traducción de direcciones de red (TDR) y las capacidades de firewall con estado. Sin embargo, los conjuntos de servicios de salto siguiente no supervisan el tráfico del motor de enrutamiento de forma predeterminada y requieren la configuración de varios conjuntos de servicios para admitir el tráfico de varias interfaces.

  • Conjunto de servicios de interfaz: se aplica a una interfaz física y es similar a un filtro de firewall sin estado. Son fáciles de configurar, pueden admitir tráfico desde varias interfaces y pueden monitorear el tráfico del motor de enrutamiento de forma predeterminada. Sin embargo, no pueden admitir protocolos de enrutamiento dinámico ni tráfico de multidifusión a través del túnel IPSec.

En general, recomendamos usar conjuntos de servicios de salto siguiente porque admiten protocolos de enrutamiento y multidifusión a través del túnel IPSec, son más fáciles de entender y la tabla de enrutamiento toma decisiones de reenvío sin intervención administrativa.

Ver también

Configuración de conjuntos de servicios IPsec

Los conjuntos de servicios IPsec requieren especificaciones adicionales que se configuran en el nivel jerárquico [edit services service-set service-set-name ipsec-vpn-options] :

La configuración de estas instrucciones se describe en las secciones siguientes:

Configuración de la dirección de puerta de enlace local para conjuntos de servicio IPsec

Si configura un conjunto de servicios IPsec, también debe configurar una dirección IPv4 o IPv6 local incluyendo la local-gateway instrucción:

  • Si la dirección IP de la puerta de enlace del intercambio de claves por red (IKE) está en inet.0 (la situación predeterminada), configure la instrucción siguiente:

  • Si la dirección IP de la puerta de enlace de IKE se encuentra en una instancia de enrutamiento y reenvío VPN (VRF), configure la siguiente instrucción:

Puede configurar todos los túneles de tipo vínculo que compartan la misma dirección de puerta de enlace local en un único conjunto de servicios de estilo de próximo salto. Debe especificar un valor para la inside-service-interface instrucción en el nivel de [edit services service-set service-set-name] jerarquía que coincida con el ipsec-inside-interface valor que configure en el nivel de [edit services ipsec-vpn rule rule-name term term-name from] jerarquía. Para obtener más información sobre la configuración de IPsec, consulte Configurar reglas de IPsec.

Nota:

A partir de la versión 16.1 de Junos OS, para configurar túneles de tipo vínculo (es decir, el estilo de salto siguiente), con alta disponibilidad, puede configurar las interfaces lógicas de AMS como interfaces internas IPsec mediante la ipsec-inside-interface interface-name instrucción en el [edit services ipsec-vpn rule rule-name term term-name from] nivel de jerarquía.

A partir de la versión 17.1 de Junos OS, AMS admite la distribución de túnel IPSec.

Direcciones IKE en instancias VRF

Puede configurar las direcciones IP de puerta de enlace del intercambio de claves por red (IKE) que estén presentes en una instancia de enrutamiento y reenvío de VPN (VRF) siempre que se pueda contactar con el par a través de la instancia de VRF.

En el caso de los conjuntos de servicios de salto siguiente, el proceso de administración de claves (kmd) coloca los paquetes de IKE en la instancia de enrutamiento que contiene el outside-service-interface valor que especifique, como en este ejemplo:

En el caso de los conjuntos de servicios de interfaz, la service-interface instrucción determina el VRF, como en este ejemplo:

Borrar SA cuando la dirección de puerta de enlace local o MS-MPC o MS-MIC deja de funcionar

A partir de la versión 17.2R1 de Junos OS, puede usar la instrucción para habilitar la gw-interface limpieza de desencadenadores de IKE y SA de IKE e IPsec cuando la dirección IP de puerta de enlace local de un túnel IPsec deja de funcionar, o la MS-MIC o MS-MPC que se usa en el conjunto de servicios del túnel deja de funcionar.

El interface-name y logical-unit-number debe coincidir con la interfaz y la unidad lógica en la que está configurada la dirección IP de la puerta de enlace local.

Si la dirección IP de puerta de enlace local para el conjunto de servicios de un túnel IPsec deja de funcionar o la MS-MIC o MS-MPC que se usa en el conjunto de servicios deja de funcionar, el conjunto de servicios ya no envía desencadenadores de ICR. Además, cuando la dirección IP de la puerta de enlace local deja de funcionar, las SA de IKE e IPsec se borran para los conjuntos de servicios de salto siguiente y pasan al estado No instalado para los conjuntos de servicios de estilo de interfaz. Las SA que tienen el estado No instalado se eliminan cuando la dirección IP de la puerta de enlace local vuelve a aparecer.

Si la dirección IP de la puerta de enlace local que desactiva para un conjunto de servicios de salto siguiente es para el par de respondedor, debe borrar las SA de IKE e IPsec en el par iniciador para que el túnel IPsec vuelva a funcionar una vez que la dirección IP de la puerta de enlace local vuelva a subir. Puede borrar manualmente las SA de IKE e IPsec en el par iniciador (consulte Borrar servicios, ipsec-vpn, ike, security-associations y borrar servicios, ipsec-vpn, ipsec security-associations) o habilitar la detección de pares inactivos en el par iniciador (consulte Configuración de reglas de firewall de inspección de estado).

Configuración de perfiles de acceso IKE para conjuntos de servicios IPsec

Solo para la tunelización dinámica de puntos de conexión, debe hacer referencia al perfil de acceso de IKE configurado en el nivel de [edit access] jerarquía. Para ello, incluya la ike-access-profile instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía:

La ike-access-profile instrucción debe hacer referencia al mismo nombre que la profile instrucción que configuró para el acceso a IKE en el nivel jerárquico [edit access] . Solo puede hacer referencia a un perfil de acceso en cada conjunto de servicios. Este perfil se utiliza para negociar asociaciones de seguridad IKE e IPsec solo con pares dinámicos.

Nota:

Si configura un perfil de acceso de IKE en un conjunto de servicios, ningún otro conjunto de servicios puede compartir la misma local-gateway dirección.

Además, debe configurar un conjunto de servicios independiente para cada VRF. Todas las interfaces a las que hace referencia la ipsec-inside-interface instrucción dentro de un conjunto de servicios deben pertenecer al mismo VRF.

Configuración de entidades de certificación para conjuntos de servicios IPsec

Puede especificar una o varias autoridades de certificación de confianza incluyendo la trusted-ca declaración:

Cuando se configuran certificados digitales de infraestructura de clave pública (PKI) en la configuración IPsec, cada conjunto de servicios puede tener su propio conjunto de autoridades de certificación de confianza. Los nombres que especifique para la trusted-ca instrucción deben coincidir con los perfiles configurados en el nivel de [edit security pki] jerarquía; para obtener más información, consulte la biblioteca de administración de Junos OS para dispositivos de enrutamiento. Para obtener más información sobre la configuración de certificados digitales IPsec, consulte Configurar reglas IPsec.

A partir de la versión 18.2R1 de Junos OS, puede configurar el enrutador de la serie MX con MS-MPC o MS-MIC para enviar solo el certificado de entidad final para la autenticación IKE basada en certificados, en lugar de la cadena de certificados completa. Esto evita la fragmentación de IKE. Para configurar esta característica, incluya la no-certificate-chain-in-ike instrucción:

Configuración o desactivación del servicio Antireplay

Puede incluir la anti-replay-window-size instrucción en el [edit services service-set service-set-name ipsec-vpn-options] nivel de jerarquía para especificar el tamaño de la ventana antirreproducción.

Esta instrucción es útil para túneles de punto de conexión dinámicos para los que no puede configurar la anti-replay-window-size instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

En el caso de túneles IPsec estáticos, esta instrucción establece el tamaño de la ventana antirreproducción para todos los túneles estáticos de este conjunto de servicios. Si un túnel determinado necesita un valor específico para el tamaño de la ventana antirreproducción, establezca la anti-replay-window-size instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía. Si la comprobación antirreproducción debe deshabilitarse para un túnel determinado de este conjunto de servicios, establezca la no-anti-replay instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Nota:

La anti-replay-window-size configuración y no-anti-replay en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía anula la configuración especificada en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía.

También puede incluir la no-anti-replay instrucción en el nivel de jerarquía para deshabilitar el [edit services service-set service-set-name ipsec-vpn-options] servicio antirreproducción IPsec. En ocasiones, causa problemas de interoperabilidad para las asociaciones de seguridad.

Esta instrucción es útil para túneles de punto de conexión dinámicos para los que no puede configurar la no-anti-reply instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

En el caso de túneles IPsec estáticos, esta instrucción deshabilita la comprobación antirreproducción para todos los túneles de este conjunto de servicios. Si la comprobación antirreproducción debe estar habilitada para un túnel determinado, establezca la anti-replay-window-size instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Nota:

Establecer las anti-replay-window-size instrucciones y no-anti-replay en el [edit services ipsec-vpn rule rule-name term term-name then] nivel de jerarquía anula la configuración especificada en el [edit services service-set service-set-name ipsec-vpn-options] nivel de jerarquía.

Borrar el bit No fragmentar

Puede incluir la clear-dont-fragment-bit instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía para borrar el bit de no fragmentar (DF) de todos los paquetes IP versión 4 (IPv4) que entren en el túnel IPsec. Si el tamaño del paquete encapsulado supera la unidad máxima de transmisión (UMT) del túnel, el paquete se fragmenta antes de la encapsulación.

Esta instrucción es útil para túneles de punto de conexión dinámicos para los que no puede configurar la clear-dont-fragment-bit instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

En el caso de túneles IPsec estáticos, al establecer esta instrucción se borra el bit DF en los paquetes que entran en todos los túneles estáticos de este conjunto de servicios. Si desea borrar el bit DF en los paquetes que entran en un túnel específico, establezca la clear-dont-fragment-bit instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

A partir de Junos OS versión 14.1, en los paquetes que se transmiten a través de túneles IPSec de punto de conexión dinámicos, puede habilitar el valor establecido en el bit DF del paquete que entra en el túnel para que se copie solo en el encabezado externo del paquete IPsec y para que no provoque ninguna modificación en el bit DF en el encabezado interno del paquete IPsec. Si el tamaño del paquete supera el valor de la unidad máxima de transmisión (UMT) del túnel, el paquete se fragmenta antes de la encapsulación. Para túneles IPsec, el valor predeterminado de UMT es 1500, independientemente de la configuración de UMT de la interfaz. Para copiar el valor de bit DF solo en el encabezado externo y no modificar el encabezado interno, utilice la copy-dont-fragment-bit instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía. También puede configurar el bit DF para que se establezca solo en el encabezado IPv4 externo del paquete IPsec y no se defina en el encabezado IPv4 interno. Para configurar el bit DF solo en el encabezado externo del paquete IPsec y dejar el encabezado interno sin modificar, incluya la set-dont-fragment-bit instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía. Esta configuración se aplica a túneles de punto de conexión dinámico y no a túneles estáticos, para los cuales debe incluir las copy-dont-fragment-bit instrucciones and set-dont-fragment-bit en el [edit services ipsec-vpn rule rule-name term term-name then] nivel de jerarquía para borrar el bit DF en los paquetes IPv4 que entran en el túnel estático. Estas funcionalidades se admiten en enrutadores de la serie MX con MS-MIC y MS-MPC.

Configuración de la tunelización en modo pasivo

Puede incluir la passive-mode-tunneling instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía para permitir que el conjunto de servicios tunelice los paquetes con formato incorrecto de túnel.

Esta funcionalidad omite las comprobaciones de IP activas, como la versión, el TTL, el protocolo, las opciones, la dirección y otras comprobaciones de ataques terrestres, y tuneliza los paquetes tal cual. Si esta instrucción no está configurada, los paquetes que no superen las comprobaciones de IP se eliminarán en la PIC. En el modo pasivo, el paquete interno no se toca; no se genera un error de ICMP si el tamaño del paquete supera el valor de UMT del túnel.

El túnel IPsec no se trata como un salto siguiente y el TTL no disminuye. Dado que no se genera un error de ICMP si el tamaño del paquete supera el valor de UMT del túnel, el paquete se tuneliza incluso si cruza el umbral de UMT del túnel.

Nota:

Esta funcionalidad es similar a la proporcionada por la no-ipsec-tunnel-in-traceroute instrucción, descrita en Rastreo de operaciones de Junos VPN Site Secure. A partir de Junos OS versión 14.2, se admite la tunelización en modo pasivo en MS-MIC y MS-MPC.

Nota:

A partir de la versión 14.2 de Junos OS, la header-integrity-check opción que se admite en MS-MIC y MS-MPC para comprobar si hay anomalías en la información de IP, TCP, UDP e ICMP en el encabezado del paquete, además de marcar dichas anomalías y errores, tiene una funcionalidad opuesta a la funcionalidad causada por la tunelización en modo pasivo. Si configura tanto la header-integrity-check instrucción como la instrucción en MS-MIC y MS-MPC, e intenta confirmar dicha configuración, se muestra un error durante la passive-mode tunneling confirmación.

La funcionalidad de tunelización en modo pasivo (mediante la inclusión de la passive-mode-tunnelin instrucción en el nivel de jerarquía) es un superconjunto de la capacidad para deshabilitar el [edit services service-set service-set-name ipsec-vpn-options] punto de conexión de túnel IPsec en la salida de traceroute (mediante no-ipsec-tunnel-in-traceroute la inclusión de instrucción en el nivel de [edit services ipsec-vpn] jerarquía). La tunelización en modo pasivo también omite las comprobaciones de IP activas y la comprobación de UMT del túnel, además de no tratar un túnel IPsec como un salto siguiente, como lo configura la no-ipsec-tunnel-in-traceroute instrucción.

Configuración del valor de UMT del túnel

Puede incluir la tunnel-mtu instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía para establecer el valor de unidad máxima de transmisión (UMT) para túneles IPsec.

Esta instrucción es útil para túneles de punto de conexión dinámicos para los que no puede configurar la tunnel-mtu instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

En el caso de túneles IPsec estáticos, esta instrucción establece el valor de UMT de túnel para todos los túneles de este conjunto de servicios. Si necesita un valor específico para un túnel determinado, establezca la tunnel-mtu instrucción en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía.

Nota:

La tunnel-mtu configuración en el nivel de [edit services ipsec-vpn rule rule-name term term-name then] jerarquía anula el valor especificado en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía.

Configuración del reenvío multiruta IPsec con encapsulación UDP

A partir de Junos OS versión 16.1, puede habilitar multirruta reenvío de tráfico IPsec configurando la encapsulación UDP en el conjunto de servicios, que agrega un encabezado UDP a la encapsulación IPsec de paquetes. Esto da como resultado el reenvío de tráfico IPsec a través de varias rutas, lo que aumenta la transferencia de datos del tráfico IPsec. Si no habilita la encapsulación UDP, todo el tráfico IPsec seguirá una única ruta de reenvío.

Cuando se detecta TDR-T, solo se produce la encapsulación UDP de TDR-T, no la encapsulación UDP para paquetes IPsec.

Para habilitar la encapsulación UDP:

  1. Habilite la encapsulación UDP.

  2. (Opcional) Especifique el número de puerto de destino UDP.

    Utilice un número de puerto de destino del 1025 al 65536, pero no utilice el 4500. Si no especifica un número de puerto, el puerto de destino predeterminado es 4565.

Ver también

Ejemplo: Configuración de SA dinámica de IKE con certificados digitales

En este ejemplo, se muestra cómo configurar la SA dinámica de IKE con certificados digitales y se incluyen las siguientes secciones.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Cuatro enrutadores serie M, serie MX o serie T con interfaces de multiservicios instaladas en ellos.

  • Junos OS versión 9.4 o posterior.

Antes de configurar este ejemplo, debe solicitar un certificado de AC, crear un certificado local y cargar estos certificados digitales en el enrutador. Para obtener más información, consulte Inscribir un certificado.

Descripción general

Una asociación de seguridad (SA) es una conexión símplex que permite que dos hosts se comuniquen entre sí de forma segura mediante IPsec. En este ejemplo, se explica la configuración de SA dinámica de IKE con certificados digitales. El uso de certificados digitales proporciona seguridad adicional al túnel de IKE. Con los valores predeterminados de la PIC de servicios, no es necesario configurar una propuesta de IPsec ni una política de IPsec. Sin embargo, debe configurar una propuesta de IKE que especifique el uso de certificados digitales, hacer referencia a la propuesta de IKE y al certificado local en una política de ICR y aplicar el perfil de AC al conjunto de servicios.

La figura 1 muestra una topología IPsec que contiene un grupo de cuatro enrutadores. Esta configuración requiere que los enrutadores 2 y 3 establezcan un túnel IPsec basado en IKE mediante certificados digitales en lugar de claves previamente compartidas. Los enrutadores 1 y 4 proporcionan conectividad básica y se utilizan para comprobar que el túnel IPsec está operativo.

Topología

Figura 1: Diagrama de topología SA dinámica de IKE de PIC de MS MS PIC IKE Dynamic SA Topology Diagram

Configuración

Para configurar la SA dinámica de IKE con certificados digitales, realice estas tareas:

Nota:

Los tipos de interfaz que se muestran en este ejemplo son solo para fines indicativos. Por ejemplo, puede usar so- interfaces en lugar de y sp- en lugar de ge- ms-.

Configuración del enrutador 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 1.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el enrutador 1 para la conectividad OSPF con el enrutador 2:

  1. Configure una interfaz Ethernet y la interfaz de circuito cerrado.

  2. Especifique el área OSPF y asocie las interfaces con el área OSPF.

  3. Configure el ID del enrutador.

  4. Confirmar la configuración.

Resultados

Desde el modo de configuración, ingrese los comandos , y show routing-options para confirmar la show interfacesshow protocols ospfconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.

Configuración del enrutador 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 2.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar la conectividad OSPF y los parámetros de túnel IPsec en el enrutador 2:

  1. Configure las propiedades de la interfaz. En este paso, configurará dos interfaces Ethernet (ge-1/0/0 y ge-1/0/1), la interfaz de circuito cerrado y una interfaz multiservicios (ms-1/2/0).

  2. Especifique el área OSPF y asocie las interfaces con el área OSPF.

  3. Configure el ID del enrutador.

  4. Configure una propuesta y una política de ICR. Para habilitar una propuesta de IKE para certificados digitales, incluya la rsa-signatures instrucción en el nivel de [edit services ipsec-vpn ike proposal proposal-name authentication-method] jerarquía. Para hacer referencia al certificado local en la política de IKE, incluya la local-certificate instrucción en el nivel de [edit services ipsec-vpn ike policy policy-name] jerarquía. Para identificar la AC o AR en el conjunto de servicios, incluya la trusted-ca instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía.

    Nota:

    Para obtener información sobre cómo crear e instalar certificados digitales, consulte Inscribir un certificado.

  5. Configure una propuesta y una política de IPsec. Además, coloque la perilla established-tunnels en immediately.

  6. Configure una regla IPsec.

  7. Configure un conjunto de servicios de estilo de próximo salto, especifique la dirección de puerta de enlace local y asocie la regla VPN de IPsec con el conjunto de servicios.

  8. Confirmar la configuración.

Resultados

Desde el modo de configuración, ingrese los comandos , show protocols ospfy show routing-options, y show services para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla

Configuración del enrutador 3

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 3.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Nota:

Si los pares de IPsec no tienen una configuración simétrica que contenga todos los componentes necesarios, no pueden establecer una relación de emparejamiento. Debe solicitar un certificado de AC, crear un certificado local, cargar estos certificados digitales en el enrutador y hacer referencia a ellos en su configuración de IPsec. Para obtener más información acerca de la certificación digital, consulte Inscribir un certificado.

Para configurar la conectividad OSPF y los parámetros de túnel IPsec en el enrutador 3:

  1. Configure las propiedades de la interfaz. En este paso, configurará dos interfaces Ethernet (ge-1/0/0 y ge-1/0/1), la interfaz de circuito cerrado y una interfaz multiservicios (ms-1/2/0).

  2. Especifique el área OSPF y asocie las interfaces con el área OSPF.

  3. Configure un ID de enrutador.

  4. Configure una propuesta y una política de ICR. Para habilitar una propuesta de IKE para certificados digitales, incluya la rsa-signatures instrucción en el nivel de [edit services ipsec-vpn ike proposal proposal-name authentication-method] jerarquía. Para hacer referencia al certificado local en la política de IKE, incluya la local-certificate instrucción en el nivel de [edit services ipsec-vpn ike policy policy-name] jerarquía. Para identificar la AC o AR en el conjunto de servicios, incluya la trusted-ca instrucción en el nivel de [edit services service-set service-set-name ipsec-vpn-options] jerarquía.

    Nota:

    Para obtener información sobre cómo crear e instalar certificados digitales, consulte Inscribir un certificado.

  5. Configure una propuesta IPsec. Además, coloque la perilla established-tunnels en immediately.

  6. Configure una regla IPsec.

  7. Configure un conjunto de servicios de estilo de próximo salto, especifique la dirección de puerta de enlace local y asocie la regla VPN de IPsec con el conjunto de servicios.

  8. Confirmar la configuración.

Resultados

Desde el modo de configuración, ingrese los comandos , show protocols ospfy show routing-options, y show services para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla

Configuración del enrutador 4

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI, en el nivel de jerarquía [edit], del enrutador 4.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar la conectividad OSPF con el enrutador 4

  1. Configure las interfaces. En este paso, configurará una interfaz Ethernet (ge-1/0/1) y la interfaz circuito cerrado.

  2. Especifique el área OSPF y asocie las interfaces con el área OSPF.

  3. Configure el ID del enrutador.

Resultados

Desde el modo de configuración, ingrese los comandos , y show routing-options para confirmar la show interfacesshow protocols ospfconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla

Verificación

Verificar el trabajo en el enrutador 1

Propósito

En el enrutador 1, compruebe el comando ping a la interfaz so-0/0/0 en el enrutador 4 para enviar tráfico a través del túnel IPsec.

Acción

Desde el modo operativo, ingrese ping 10.1.56.2.

Si hace ping en la dirección de circuito cerrado del enrutador 4, la operación se realiza correctamente porque la dirección forma parte de la red del OSPF configurada en el enrutador 4.

Verificación del trabajo en el enrutador 2

Propósito

Para comprobar que el tráfico coincidente se desvía al túnel IPsec bidireccional, consulte las estadísticas de IPsec:

Acción

Desde el modo operativo, escriba el show services ipsec-vpn ipsec statistics.

Para comprobar que la negociación de SA de IKE se realiza correctamente, ejecute el show services ipsec-vpn ike security-associations comando:

Desde el modo operativo, ingrese el show services ipsec-vpn ike security-associations

Para comprobar que la asociación de seguridad IPsec está activa, ejecute el show services ipsec-vpn ipsec security-associations detail comando. Observe que la SA contiene la configuración predeterminada inherente a la PIC de servicios, como ESP para el protocolo y HMAC-SHA1-96 para el algoritmo de autenticación.

Desde el modo operativo, ingrese el show services ipsec-vpn ipsec security-associations detail

Para mostrar los certificados digitales que se utilizan para establecer el túnel IPsec, emita el comando show services ipsec-vpn certificates:

Desde el modo operativo, ingrese el show services ipsec-vpn certificates

Para mostrar el certificado de AC, emita el comando show security pki ca-certificate detail. Tenga en cuenta que hay tres certificados independientes: uno para la firma de certificados, otro para el cifrado de claves y otro para la firma digital de la AC.

Desde el modo operativo, ingrese el show security pki ca-certificate detail

Para mostrar la solicitud de certificado local, ejecute el comando show security pki certificate-request:

Desde el modo operativo, ingrese el show security pki certificate-request

Para mostrar el certificado local, ejecute el comando show security pki local-certificate:

Desde el modo operativo, ingrese el show security pki local-certificate

Verificación del trabajo en el enrutador 3

Propósito

Para comprobar que el tráfico coincidente se desvía al túnel IPsec bidireccional, consulte las estadísticas de IPsec:

Acción

Desde el modo operativo, escriba el show services ipsec-vpn ipsec statistics.

Para comprobar que la negociación de SA de IKE se realiza correctamente, ejecute el comando show services ipsec-vpn ike security-associations. Para que se realice correctamente, la SA en el enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Desde el modo operativo, escriba el show services ipsec-vpn ike security-associations.

Para comprobar que la SA de IPsec está activa, ejecute el comando show services ipsec-vpn ipsec security-associations detail. Para que se realice correctamente, la SA en el enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Desde el modo operativo, escriba el show services ipsec-vpn ipsec security-associations detail.

Para mostrar los certificados digitales que se utilizan para establecer el túnel IPsec, emita el comando show services ipsec-vpn certificates:

Desde el modo operativo, escriba el show services ipsec-vpn certificates.

Para mostrar el certificado de AC, emita el comando show security pki ca-certificate detail. Tenga en cuenta que hay tres certificados independientes: uno para la firma de certificados, otro para el cifrado de claves y otro para la firma digital de la AC.

Desde el modo operativo, escriba el show security pki ca-certificate detail.

Para mostrar la solicitud de certificado local, ejecute el comando show security pki certificate-request:

Desde el modo operativo, escriba el show security pki certificate-request.

Para mostrar el certificado local, ejecute el comando show security pki local-certificate:

Desde el modo operativo, escriba el show security pki local-certificate.

Verificación del trabajo en el enrutador 4

Propósito

En el enrutador 4, emita un comando ping a la interfaz so-0/0/0 en el enrutador 1 para enviar tráfico a través del túnel IPsec.

Acción

Desde el modo operativo, ingrese ping 10.1.12.2.

La última manera de confirmar que el tráfico viaja por el túnel IPsec es mediante la emisión del comando traceroute a la interfaz so-0/0/0 en el enrutador 1. Observe que no se hace referencia a la interfaz física entre los enrutadores 2 y 3 en la ruta; el tráfico entra en el túnel IPsec a través de la interfaz IPsec inside de servicios adaptables en el enrutador 3, pasa a través de la interfaz de circuito cerrado en el enrutador 2 y termina en la interfaz so-0/0/0 en el enrutador 1.

Desde el modo operativo, escriba el traceroute 10.1.12.2.

Ver también

Configuración de Junos VPN Site Secure o VPN IPSec

La VPN IPsec se admite en todos los enrutadores de la serie MX con MS-MIC, MS-MPC o MS-DPC.

En enrutadores serie M y serie T, la VPN IPsec es compatible con PIC de 100 multiservicios, PIC de 400 servicios multiservicios y PIC de 500 multiservicios.

MS-MIC y MS-MPC son compatibles con la versión 13.2 y posteriores de Junos OS. MS-MIC y MS-MPC admiten todas las características compatibles con MS-DPC y MS-PIC, excepto el protocolo de encabezado de autenticación (ah), el protocolo de carga de seguridad de encapsulación (ESP) y el protocolo de agrupación (protocolo ah y esp) para una asociación de seguridad dinámica o manual y un servicio IPsec sin flujo.

El recorrido TDR (TDR-T) es compatible con IKEv1 e IKEv2 a partir de la versión 17.4R1 de Junos OS. TDR-T está habilitado de forma predeterminada. Puede especificar la encapsulación y la desencapsulación UDP para paquetes IKE y ESP mediante la configuración disable-natt de los [edit services ipsec-vpn] niveles jerárquicos.

Ver también

Ejemplo: Configuración de Junos VPN Site Secure en MS-MIC y MS-MPC

Nota:

Puede seguir el mismo procedimiento y utilizar la misma configuración que se indica en este ejemplo para configurar Junos VPN Site Secure (anteriormente conocido como características IPsec) en MS-MPC.

Este ejemplo contiene las siguientes secciones:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos enrutadores de la serie MX con MS-MIC

  • Junos OS versión 13.2 o posterior

Descripción general

La versión 13.2 de Junos OS extiende el soporte para Junos VPN Site Secure (anteriormente conocido como características IPsec) a los recién introducidos Multiservicios MIC y MPC (MS-MIC y MS-MPC) en enrutadores de la serie MX. Los paquetes del proveedor de extensiones de Junos OS vienen preinstalados y preconfigurados en MS-MIC y MS-MPC.

Las siguientes funciones de Junos VPN Site Secure son compatibles con MS-MIC y MS-MPC en la versión 13.2:

  • Puntos de conexión dinámicos (DEP)

  • Protocolo de encapsulación Seguridad carga (ESP)

  • Mensajes desencadenantes de detección de pares inactivos (DPD)

  • Notificaciones de sustitución de números de secuencia

  • Túneles IPsec estáticos con conjuntos de servicios de estilo de interfaz y salto siguiente

Sin embargo, en Junos OS versión 13.2, la compatibilidad con Junos VPN Site Secure en MS-MIC y MS-MPC se limita al tráfico IPv4. La tunelización pasiva de módulos no se admite en MS-MIC ni MS-MPC.

En la figura 2 , se muestra la topología de túnel VPN de IPsec.

Figura 2: Topología Network diagram showing IPSec tunnel configuration between two routers labeled 1 and 2. Router 1 connects to 172.16.0.0/16 and 10.0.1.0/30 networks. Router 2 connects to 192.168.0.0/16 and 10.0.1.0/30 networks. The tunnel uses ms-4/0/0 on Router 1 and ms-1/0/0 on Router 2. de túnel VPN IPsec

En este ejemplo, se muestra la configuración de dos enrutadores, el enrutador 1 y el enrutador 2, que tienen un túnel VPN IPsec configurado entre ellos.

Al configurar los enrutadores, tenga en cuenta los siguientes puntos:

  • La dirección IP que configure para source-address el mismo nivel de jerarquía en el [edit services ipsec-vpn rule name term term from] enrutador 1 debe ser la misma que la dirección IP para la que configure en destination-address la misma jerarquía en el enrutador 2 y viceversa.

  • La dirección IP de la persona que remote-gateway configure en el [edit services ipsec-vpn rule name term term then] nivel de jerarquía debe coincidir con la dirección IP de la local-gateway que configure en el [edit services service-set name ipsec-vpn-options] nivel de jerarquía del enrutador 2 y viceversa.

Configuración

Esta sección contiene:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Configuración de interfaces en el enrutador 1

Configuración del servicio VPN IPsec en el enrutador 1

Configuración de un conjunto de servicios en el enrutador 1

Configuración de opciones de enrutamiento en el enrutador 1

Configuración de interfaces en el enrutador 2

Configuración del servicio VPN IPsec en el enrutador 2

Configuración de un conjunto de servicios en el enrutador 2

Configuración de opciones de enrutamiento en el enrutador 2

Configuración del enrutador 1

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Nota:

A partir de la versión 13.2, los paquetes del proveedor de extensiones de Junos OS vienen preinstalados en las MIC y MPC multiservicio (MS-MIC y MS-MPC). La adaptive-services configuración en el nivel de [edit chassis fpc number pic number] jerarquía está preconfigurada en estas tarjetas.

  1. Configure las propiedades de la interfaz, como familia, dominio de servicio y unidad.

  2. Configure las propiedades de IPsec como dirección, puerta de enlace remota, políticas, dirección de coincidencia, protocolo, tamaño de la ventana de reproducción, detalles del algoritmo, claves de confidencialidad, propuesta, método de autenticación, grupos y versión.

  3. Configure un conjunto de servicios, las opciones de ipsec-vpn y las reglas.

  4. Configure las opciones de enrutamiento, ruta estática y próximo salto.

Resultados

Desde el modo de configuración del enrutador 1, ingrese los comandos , y show services service-set para confirmar la show services ipsec-vpnshow interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.

Configuración del enrutador 2

Procedimiento paso a paso

  1. Configure las propiedades de la interfaz, como familia, dominio de servicio y unidad.

  2. Configure las propiedades de IPsec como dirección, puerta de enlace remota, políticas, dirección de coincidencia, protocolo, tamaño de la ventana de reproducción, detalles del algoritmo, claves de confidencialidad, propuesta, método de autenticación, grupos y versión.

  3. Configure un conjunto de servicios, como next-hop-service y ipsec-vpn-options.

  4. Configure las opciones de enrutamiento, la ruta estática y el salto siguiente.

Resultados

Desde el modo de configuración del enrutador 2, ingrese los comandos , y show services service-set para confirmar la show services ipsec-vpnshow interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.

Verificación

Verificar la creación de túneles

Propósito

Compruebe que se han creado puntos finales dinámicos.

Acción

Ejecute el siguiente comando en el enrutador 1:

Significado

El resultado muestra que las SA de IPSec están activas en el enrutador con su estado como Instalado. El túnel IPSec está activo y listo para enviar tráfico a través del túnel.

Verificar el flujo de tráfico a través del túnel DEP

Propósito

Compruebe el flujo de tráfico a través del túnel DEP recién creado.

Acción

Ejecute el siguiente comando en el enrutador 2:

Comprobar asociaciones de seguridad IPsec para el conjunto de servicios

Propósito

Compruebe que las asociaciones de seguridad configuradas para el conjunto de servicios funcionan correctamente.

Acción

Ejecute el siguiente comando en el enrutador 2:

Ejemplo: Configuración de túneles IPsec asignados estáticamente a través de una instancia VRF

En este ejemplo, se muestra cómo configurar un túnel IPsec asignado estáticamente a través de una instancia de VRF y contiene las siguientes secciones:

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • enrutador serie M, serie MX o serie T que está configurado como un enrutador de borde del proveedor.

  • Junos OS versión 9.4 y posteriores.

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.

Descripción general

Junos OS permite configurar túneles IPsec asignados estáticamente en instancias de enrutamiento y reenvío virtual (VRF). La capacidad de configurar túneles IPsec en instancias VRF mejora la segmentación y la seguridad de la red. Puede tener varios túneles de clientes configurados en el mismo enrutador de PE a través de instancias VRF. Cada instancia de VRF actúa como un enrutador lógico con una tabla de enrutamiento exclusiva.

Configuración

En este ejemplo, se muestra la configuración de un túnel IPsec a través de una instancia VRF en un enrutador de borde del proveedor y se proporcionan instrucciones paso a paso para completar la configuración requerida.

Esta sección contiene:

Configuración del enrutador de borde del proveedor

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar un túnel IPsec asignado estáticamente en una instancia VRF:

  1. Configure las interfaces. En este paso, configurará dos interfaces Ethernet (ge), una interfaz de servicios (ms-) y también las propiedades de dominio de servicio para las interfaces lógicas de la interfaz de servicios. Tenga en cuenta que la interfaz lógica marcada como interfaz interna aplica el servicio configurado en el tráfico, mientras que la que está marcada como interfaz externa actúa como punto de salida para el tráfico en el que la interfaz interna aplicó el servicio.

  2. Configure una política de enrutamiento para especificar los criterios de importación y exportación de rutas para la instancia de VRF. En el paso siguiente, se hace referencia a las políticas de importación y exportación definidas en este paso desde la configuración de la instancia de enrutamiento.

  3. Configure una instancia de enrutamiento y especifique el tipo de instancia de enrutamiento como vrf. Aplique las políticas de importación y exportación definidas en el paso anterior a la instancia de enrutamiento y especifique una ruta estática para enviar el tráfico IPsec a la interfaz interna (ms-1/2/0.1) configurada en el primer paso.

  4. Configure las propuestas y políticas de IKE e IPsec, y una regla para aplicar la política de IKE en el tráfico entrante.

    Nota:

    De forma predeterminada, Junos OS utiliza la política de IKE versión 1.0. Junos OS versión 11.4 y posteriores también son compatibles con la política de IKE versión 2.0, que debe configurar en [edit services ipsec-vpn ike policy policy-name pre-shared].

  5. Configure un conjunto de servicios de estilo de próximo salto. Tenga en cuenta que debe configurar las interfaces interna y externa que configuró en el primer paso como y inside-service-interface outside-service-interface respectivamente.

  6. Confirmar la configuración.

Resultados

Desde el modo de configuración del enrutador 1, ingrese los comandos , show policy-options, show routing-instancesshow services ipsec-vpny show services service-set para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.

Ver también

Ejemplo multitarea: configuración de servicios IPsec

En las siguientes instrucciones con ejemplos se muestra cómo configurar los servicios IPsec. La configuración implica definir una política de ICR, una política de IPsec, reglas de IPsec, opciones de rastreo y conjuntos de servicios.

En este tema verá las siguientes secciones:

Configuración de la propuesta de ICR

La configuración de propuesta de IKE define los algoritmos y las claves que se usan para establecer la conexión IKE segura con la puerta de enlace de seguridad del par. Para obtener más información acerca de las propuestas de IKE, consulte Configurar propuestas de IKE.

Para definir la propuesta de ICR:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure el método de autenticación, que se encuentra pre-shared keys en este ejemplo:
  3. Configure el grupo Diffie-Hellman y especifique un nombre, por ejemplo: group1
  4. Configure el algoritmo de autenticación, que se encuentra sha1 en este ejemplo:
  5. Configure el algoritmo de cifrado, que se encuentra aes-256-cbc en este ejemplo:

En el siguiente resultado de ejemplo, se muestra la configuración de la propuesta de ICR:

Ver también

Configuración de la política de ICR (y referencia a la propuesta de ICR)

La configuración de política de IKE define la propuesta, el modo, las direcciones y otros parámetros de seguridad que se utilizan durante la negociación de IKE. Para obtener más información acerca de las políticas de IKE, consulte Configuración de políticas de IKE.

Para definir la política de ICR y hacer referencia a la propuesta de ICR:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure el modo de primera fase de ICR, por ejemplo: main
  3. Configure la propuesta, que se encuentra test-IKE-proposal en este ejemplo:
  4. Configure la identificación local con una dirección IPv4, por ejemplo: 192.168.255.2
  5. Configure la clave previamente compartida en formato de texto ASCII, que se encuentra TEST en este ejemplo:

En el siguiente resultado de ejemplo, se muestra la configuración de la política de ICR:

Configurar la propuesta de IPsec

La configuración de propuesta de IPsec define los protocolos y algoritmos (servicios de seguridad) necesarios para negociar con el par IPsec remoto. Para obtener más información acerca de las propuestas IPsec, consulte Configurar propuestas IPsec.

Para definir la propuesta de IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure el protocolo IPsec para la propuesta, por ejemplo: esp
  3. Configure el algoritmo de autenticación para la propuesta, que se encuentra hmac-sha1-96 en este ejemplo:
  4. Configure el algoritmo de cifrado para la propuesta, que se encuentra aes-256-cbc en este ejemplo:

En el siguiente resultado de ejemplo, se muestra la configuración de la propuesta de IPsec:

Ver también

Configurar la política de IPsec (y hacer referencia a la propuesta de IPsec)

La configuración de política de IPsec define una combinación de parámetros de seguridad (propuestas de IPsec) que se utilizan durante la negociación de IPsec. Define PFS y las propuestas necesarias para la conexión. Para obtener más información acerca de las políticas de IPsec, consulte Configurar políticas de IPsec.

Para definir la política de IPsec y hacer referencia a la propuesta de IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure las claves para una confidencialidad directa perfecta en la política de IPsec, por ejemplo: group1
  3. Configure un conjunto de propuestas IPsec en la política de IPsec, por ejemplo: test-IPsec-proposal

En el siguiente resultado de ejemplo, se muestra la configuración de la política de IPsec:

Ver también

Configurar la regla IPsec (y hacer referencia a las políticas de IKE e IPsec)

La configuración de regla IPsec define la dirección que especifica si la coincidencia se aplica en el lado de entrada o de salida de la interfaz. La configuración también consta de un conjunto de términos que especifican las condiciones de coincidencia y las aplicaciones que se incluyen y excluyen, y también especifican las acciones y los modificadores de acción que debe realizar el software del enrutador. Para obtener más información acerca de las reglas IPsec, consulte Configurar reglas IPsec.

Para definir la regla IPsec y hacer referencia a las políticas de IKE e IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure la dirección IP de destino para el término IPsec en la regla IPsec, por ejemplo: 192.168.255.2/32
  3. Configure la dirección de puerta de enlace remota para el término IPsec en la regla IPsec, por ejemplo: 0.0.0.0
  4. Configure una asociación de seguridad dinámica para la política de IKE para el término IPsec en la regla IPsec, que se encuentra test-IKE-policy en este ejemplo:
  5. Configure una asociación de seguridad dinámica para la propuesta de IKE para el término IPsec en la regla IPsec, que se encuentra test-IPsec-proposal en este ejemplo:
  6. Configure una dirección para la que se aplique la coincidencia de regla en la regla IPsec, por ejemplo: input

En el siguiente resultado de ejemplo, se muestra la configuración de la regla IPsec:

Configuración de las opciones de seguimiento de IPsec

La configuración de las opciones de seguimiento de IPsec realiza un seguimiento de los eventos de IPsec y los registra en un archivo de registro en el directorio /var/log . De forma predeterminada, este archivo se denomina /var/log/kmd. Para obtener más información acerca de las reglas de IPsec, consulte Rastreo de operaciones de Junos VPN Site Secure.

Para definir las opciones de seguimiento de IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure el archivo de seguimiento, que se encuentra ipsec.log en este ejemplo:
  3. Configure todos los parámetros de seguimiento con la opción all de este ejemplo:

En el siguiente resultado de ejemplo, se muestra la configuración de las opciones de seguimiento de IPsec:

Configuración del perfil de acceso (y referencia a las políticas de IKE e IPsec)

La configuración del perfil de acceso define el perfil de acceso y hace referencia a las políticas de IKE e IPsec. Para obtener más información sobre el perfil de acceso, consulte Configuración de un perfil de acceso de ICR.

Para definir el perfil de acceso y hacer referencia a las políticas de IKE e IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure la lista de pares de identidad de proxy local y remoto con la allowed-proxy-pair opción. En este ejemplo, 10.0.0.0/24 es la dirección IP para la identidad de proxy local y 10.0.1.0/24 es la dirección IP para la identidad de proxy remoto:
  3. Configure la política de ICR, por ejemplo: test-IKE-policy
  4. Configure la política de IPsec, por ejemplo: test-IPsec-policy
  5. Configure la identidad del grupo de interfaces de servicio lógico que se encuentra TEST-intf en este ejemplo:

En el siguiente resultado de ejemplo, se muestra la configuración del perfil de acceso:

Ver también

Configuración del conjunto de servicios (y referencia al perfil de IKE y a la regla IPsec)

La configuración del conjunto de servicios define los conjuntos de servicios IPsec que requieren especificaciones adicionales y hace referencia al perfil de IKE y a la regla de IPsec. Para obtener más información acerca de los conjuntos de servicios IPsec, consulte Configurar conjuntos de servicios IPsec.

Para definir la configuración del conjunto de servicios con los conjuntos de servicios del próximo salto y las opciones de VPN IPsec:

  1. En el modo de configuración, vaya al siguiente nivel de jerarquía:
  2. Configure un conjunto de servicios con parámetros para interfaces de servicio de salto siguiente para la red interna, por ejemplo: sp-1/2/0.1
  3. Configure un conjunto de servicios con parámetros para interfaces de servicio de salto siguiente para la red externa, por ejemplo: sp-1/2/0.2
  4. Configure las opciones VPN de IPsec con la dirección y la instancia de enrutamiento de la puerta de enlace local, por ejemplo: 192.168.255.2
  5. Configure las opciones de VPN IPsec con el perfil de acceso IKE para pares dinámicos, que se muestra IKE-profile-TEST en este ejemplo:
  6. Configure un conjunto de servicios con reglas VPN IPsec, que se encuentran test-IPsec-rule en este ejemplo:

En el siguiente resultado de ejemplo, se muestra la configuración del conjunto de servicios que hace referencia al perfil de IKE y la regla IPsec:

Ver también

Deshabilitar TDR-T en enrutadores de la serie MX para manejar TDR con paquetes protegidos por IPsec

Antes de la versión 17.4R1 de Junos OS, la traducción de direcciones de red-recorrido (TDR-T) no es compatible con el conjunto de funciones IPsec de Junos VPN Site Secure en los enrutadores de la serie MX. De forma predeterminada, Junos OS detecta si alguno de los túneles IPsec está detrás de un dispositivo TDR y cambia automáticamente al uso de TDR-T para el tráfico protegido. Para evitar ejecutar TDR-T no compatible en versiones de Junos OS anteriores a 17.4R1, debe deshabilitar TDR-T incluyendo la disable-natt instrucción en el [edit services ipsec-vpn] nivel de jerarquía. Cuando desactiva TDR-T, la funcionalidad TDR-T se desactiva globalmente. Cuando deshabilita TDR-T y hay un dispositivo TDR entre las dos puertas de enlace IPsec, los mensajes ISAKMP se negocian mediante el puerto UDP 500 y los paquetes de datos se encapsulan con la carga de seguridad de encapsulación (ESP).

La traducción de direcciones de red-recorrido (TDR-T) es un método para solucionar los problemas de traducción de direcciones IP que se producen cuando los datos protegidos por IPsec pasan a través de un dispositivo TDR para la traducción de direcciones. Cualquier cambio en el direccionamiento IP, que es la función de TDR, hace que IKE descarte paquetes. Después de detectar uno o más dispositivos TDR a lo largo de la ruta de datos durante los intercambios de fase 1, TDR-T agrega una capa de encapsulación del protocolo de datagramas de usuario (UDP) a los paquetes IPsec para que no se descarten después de la traducción de direcciones. TDR-T encapsula tanto el tráfico IKE como el ESP dentro de UDP con el puerto 4500 utilizado como puerto de origen y destino. Dado que los dispositivos TDR caducan las traducciones UDP obsoletas, se requieren mensajes de keepalive entre los pares.

La ubicación de un dispositivo TDR puede ser tal que:

  • Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo TDR. Múltiples iniciadores pueden estar detrás de dispositivos TDR separados. Los iniciadores también pueden conectarse al respondedor a través de múltiples dispositivos TDR.

  • Solo el respondedor IKEv1 o IKEv2 está detrás de un dispositivo TDR.

  • Tanto el iniciador IKEv1 o IKEv2 como el respondedor están detrás de un dispositivo TDR.

VPN de punto de conexión dinámico abarca la situación en la que la dirección externa de IKE del iniciador no es fija y, por lo tanto, el respondedor no la conoce. Esto puede ocurrir cuando la dirección del iniciador es asignada dinámicamente por un ISP o cuando la conexión del iniciador cruza un dispositivo TDR dinámico que asigna direcciones desde un conjunto de direcciones dinámicas.

Se proporcionan ejemplos de configuración para TDR-T para la topología en la que solo el respondedor está detrás de un dispositivo TDR y la topología en la que tanto el iniciador como el respondedor están detrás de un dispositivo TDR. La configuración de puerta de enlace IKE de sitio a sitio para TDR-T es compatible tanto con el iniciador como con el respondedor. Un ID de IKE remoto se utiliza para validar el ID de IKE local de un par durante la fase 1 de la negociación del túnel de IKE. Tanto el iniciador como el respondedor requieren una cadena de identidad local y remota.

Ver también

Rastreo de operaciones de Junos VPN Site Secure

Nota:

Junos VPN Site Secure es un conjunto de características de IPsec compatibles con tarjetas de línea de multiservicios (MS-CPC, MS-MPC y MS-MIC) y anteriormente se lo conocía como servicios IPsec.

Las operaciones de rastreo rastrean los eventos de IPsec y los registran en un archivo de registro en el /var/log directorio. De forma predeterminada, este archivo se llama /var/log/kmd.

Para realizar un seguimiento de las operaciones de IPsec, incluya la traceoptions instrucción en el nivel de [edit services ipsec-vpn] jerarquía:

Puede especificar los siguientes indicadores de rastreo de IPsec:

  • all—Rastrea todo.

  • certificates—Rastreo de eventos de certificados.

  • database—Rastrea los eventos de la base de datos de asociaciones de seguridad.

  • general—Rastrear eventos generales.

  • ike—Procesamiento del módulo Trace IKE.

  • parse—Procesamiento de configuración de rastreo.

  • policy-manager—Procesamiento del administrador de políticas de rastreo.

  • routing-socket—Rastrear mensajes de socket de enrutamiento.

  • snmp—Rastree las operaciones SNMP.

  • timer—Rastrea eventos internos del temporizador.

La level instrucción establece el nivel de rastreo del proceso de administración de claves (kmd). Se admiten los siguientes valores:

  • all—Hacer coincidir todos los niveles.

  • error—Condiciones de error de coincidencia.

  • info–Hacer coincidir mensajes informativos.

  • notice—Condiciones de coincidencia que deben manejarse especialmente.

  • verbose—Hacer coincidir mensajes detallados.

  • warning—Mensajes de advertencia de coincidencia.

En esta sección se incluyen los temas siguientes:

Deshabilitar el punto de conexión del túnel IPsec en traceroute

Si incluye la no-ipsec-tunnel-in-traceroute instrucción en el nivel de [edit services ipsec-vpn] jerarquía, el túnel IPsec no se trata como un salto siguiente y el tiempo de vida (TTL) no disminuye. Además, si el TTL llega a cero, no se genera un mensaje de tiempo excedido del ICMP.

Nota:

Esta funcionalidad también la proporciona la passive-mode-tunneling instrucción. Puede utilizar la instrucción en situaciones específicas en las que el túnel IPsec no se deba tratar como un salto siguiente y no se desee el no-ipsec-tunnel-in-traceroute modo pasivo.

Rastreo de operaciones de PKI de IPsec

Las operaciones de rastreo rastrean los eventos de PKI de IPsec y los registran en un archivo de registro en el /var/log directorio. De forma predeterminada, este archivo se llama /var/log/pkid.

Para realizar un seguimiento de las operaciones de PKI de IPsec, incluya la traceoptions instrucción en el nivel de [edit security pki] jerarquía:

Puede especificar los siguientes indicadores de seguimiento de PKI:

  • all—Rastrea todo.

  • certificates—Rastreo de eventos de certificados.

  • database—Rastrea los eventos de la base de datos de asociaciones de seguridad.

  • general—Rastrear eventos generales.

  • ike—Procesamiento del módulo Trace IKE.

  • parse—Procesamiento de configuración de rastreo.

  • policy-manager—Procesamiento del administrador de políticas de rastreo.

  • routing-socket—Rastrear mensajes de socket de enrutamiento.

  • snmp—Rastree las operaciones SNMP.

  • timer—Rastrea eventos internos del temporizador.

Ver también

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.2R1
A partir de la versión 18.2R1 de Junos OS, puede configurar el enrutador de la serie MX con MS-MPC o MS-MIC para enviar solo el certificado de entidad final para la autenticación IKE basada en certificados, en lugar de la cadena de certificados completa.
17.2R1
A partir de la versión 17.2R1 de Junos OS, puede usar la instrucción para habilitar la gw-interface limpieza de desencadenadores de IKE y SA de IKE e IPsec cuando la dirección IP de puerta de enlace local de un túnel IPsec deja de funcionar, o la MS-MIC o MS-MPC que se usa en el conjunto de servicios del túnel deja de funcionar.
17.1
A partir de la versión 17.1 de Junos OS, AMS admite la distribución de túnel IPSec
16.1
A partir de la versión 16.1 de Junos OS, para configurar túneles de tipo vínculo (es decir, el estilo de salto siguiente), con alta disponibilidad, puede configurar las interfaces lógicas de AMS como interfaces internas IPsec mediante la ipsec-inside-interface interface-name instrucción en el [edit services ipsec-vpn rule rule-name term term-name from] nivel de jerarquía.
16.1
A partir de Junos OS versión 16.1, puede habilitar multirruta reenvío de tráfico IPsec configurando la encapsulación UDP en el conjunto de servicios, que agrega un encabezado UDP a la encapsulación IPsec de paquetes.
14.2
A partir de Junos OS versión 14.2, se admite la tunelización en modo pasivo en MS-MIC y MS-MPC.
14.2
A partir de la versión 14.2 de Junos OS, la header-integrity-check opción que se admite en MS-MIC y MS-MPC para comprobar si hay anomalías en la información de IP, TCP, UDP e ICMP en el encabezado del paquete, además de marcar dichas anomalías y errores, tiene una funcionalidad opuesta a la funcionalidad causada por la tunelización en modo pasivo.
14.1
A partir de Junos OS versión 14.1, en los paquetes que se transmiten a través de túneles IPSec de punto de conexión dinámicos, puede habilitar el valor establecido en el bit DF del paquete que entra en el túnel para que se copie solo en el encabezado externo del paquete IPsec y para que no provoque ninguna modificación en el bit DF en el encabezado interno del paquete IPsec.