Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de interfaces de cifrado

Configuración de interfaces de cifrado

Cuando configure la interfaz de cifrado, asocie la SA configurada con una interfaz lógica. Esta configuración define el túnel, incluida la unidad lógica, las direcciones del túnel, la unidad de transmisión máxima (MTU), las direcciones de interfaz opcionales y el nombre de la SA IPsec que se aplicará al tráfico. Para configurar una interfaz de cifrado, incluya las siguientes instrucciones en el [edit interfaces es-fpc/pic/port unit logical-unit-number] nivel de jerarquía:

Las direcciones configuradas como origen y destino del túnel son las direcciones del encabezado IP externo del túnel.

Nota:

Debe configurar la dirección de origen del túnel localmente en el enrutador y la dirección de destino del túnel debe ser una dirección válida para la puerta de enlace de seguridad que termina el túnel.

La tarjeta de interfaz física (PIC) es compatible con los enrutadores serie M y T.

La SA debe ser una SA en modo de túnel válida. La dirección de interfaz y la dirección de destino enumeradas son opcionales. La dirección de destino permite al usuario configurar una ruta estática para cifrar el tráfico. Si una ruta estática usa esa dirección de destino como el siguiente salto, el tráfico se reenvía a través de la parte del túnel en la que se produce el cifrado.

Especificación del nombre de asociación de seguridad para interfaces de cifrado

La asociación de seguridad es el conjunto de propiedades que define los protocolos para cifrar el tráfico de Internet. Para configurar interfaces de cifrado, especifique el nombre de SA asociado con la interfaz mediante la inclusión de la ipsec-sa instrucción en el [edit interfaces es-fpc/pic/port unit logical-unit-number family inet] nivel de jerarquía:

Para obtener más información acerca de cómo configurar la asociación de seguridad, consulte Configurar filtros para el tráfico que transita la PIC ES.

Configuración de la MTU para interfaces de cifrado

El valor de MTU de protocolo para interfaces de cifrado siempre debe ser menor que el valor de MTU de interfaz predeterminado de 3900 bytes; la configuración no se confirma si selecciona un valor mayor. Para establecer el valor de MTU, incluya la mtu instrucción en el [edit interfaces interface-name unit logical-unit-number family inet] nivel de jerarquía:

Para obtener más información, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento.

Ejemplo: Configuración de una interfaz de cifrado

Configure un túnel IPsec como una interfaz lógica en la PIC ES. La interfaz lógica especifica el túnel por el que viaja el tráfico cifrado. La ipsec-sa instrucción asocia el perfil de seguridad con la interfaz.

Configuración de filtros para el tráfico que transita la PIC DE ES

Esta sección contiene los siguientes temas:

Descripción general del tráfico

La configuración de tráfico define el tráfico que debe fluir a través del túnel. Configure filtros de firewall salientes y entrantes, que identifican y dirigen el tráfico a cifrar y confirman que los parámetros de tráfico descifrado coincidan con los definidos para el túnel dado. El filtro de salida se aplica a la interfaz LAN o WAN para el tráfico entrante que desea cifrar. El filtro de entrada se aplica a la PIC ES para comprobar la política del tráfico que viene del host remoto. Debido a la complejidad de configurar un enrutador para reenviar paquetes, no se realiza ninguna comprobación automática para garantizar que la configuración sea correcta.

Nota:

Las instrucciones de filtros de firewall válidas para IPsec son destination-port, source-port, protocol, destination-address, y source-address.

En la figura 1, la puerta de enlace A protege la red 10.1.1.0/24y la puerta de enlace B protege la red 10.2.2.0/24. Las puertas de enlace se conectan mediante un túnel IPsec. Para obtener más información acerca de los firewalls, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico.

Figura 1: Ejemplo: Túnel IPsec que conecta puertas de enlace Example: IPsec Tunnel Connecting Security Gateways de seguridad

La interfaz SA y ES para la puerta de enlace A de seguridad se configuran de la siguiente manera:

Configuración de la asociación de seguridad

Para configurar la SA, incluya la security-association instrucción en el [edit security] nivel de jerarquía:

Para obtener más información acerca de cómo configurar una SA, consulte la biblioteca de administración de Junos OS para dispositivos de enrutamiento. Para obtener más información acerca de cómo aplicar la SA a una interfaz, consulte 147531Especificar el nombre de asociación de seguridad para interfaces de cifrado.

Configurar un filtro de tráfico saliente

Para configurar el filtro de tráfico saliente, incluya la filter instrucción en el [edit firewall] nivel jerárquico:

Para obtener más información, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico.

Ejemplo: Configurar un filtro de tráfico saliente

Los filtros de firewall para el tráfico saliente dirigen el tráfico a través del túnel IPsec deseado y garantizan que el tráfico tunelado salga de la interfaz adecuada (consulte la Figura 1). Aquí, se crea un filtro de firewall saliente en la puerta de enlace de seguridad A; identifica el tráfico que se va a cifrar y lo agrega al lado de entrada de la interfaz que transporta el tráfico de red privada virtual (VPN) interna:

Nota:

La dirección de origen, el puerto y el protocolo del filtro de tráfico de salida deben coincidir con la dirección de destino, el puerto y el protocolo del filtro de tráfico entrante. La dirección de destino, el puerto y el protocolo del filtro de tráfico de salida deben coincidir con la dirección de origen, el puerto y el protocolo del filtro de tráfico entrante.

Aplicación del filtro de tráfico saliente

Después de configurar el filtro de firewall saliente, se aplica incluyendo la filter instrucción en el [edit interfaces interface-name unit logical-unit-number family inet] nivel jerárquico:

Ejemplo: Aplicación del filtro de tráfico saliente

Aplique el filtro de tráfico saliente. El filtro de salida se aplica en la interfaz Fast Ethernet en el [edit interfaces fe-0/0/1 unit 0 family inet] nivel jerárquico. Cualquier paquete que coincida con el término de acción IPsec (term 1) en el filtro de entrada (ipsec-encrypt-policy-filter), configurado en la interfaz fast Ethernet, se dirige a la interfaz PIC ES en el [edit interfaces es-0/1/0 unit 0 family inet] nivel jerárquico. Por lo tanto, si un paquete llega desde la dirección 10.1.1.0/24 de origen y va a la dirección 10.2.2.0/24de destino, el motor de reenvío de paquetes dirige el paquete a la interfaz PIC ES, que está configurada con la manual-sa1 SA. La PIC ES recibe el paquete, aplica la manual-sa1 SA y lo envía a través del túnel.

El enrutador debe tener una ruta al punto de final del túnel; agregue una ruta estática si fuera necesario.

Configurar un filtro de tráfico entrante

Para configurar un filtro de tráfico entrante, incluya la filter instrucción en el [edit firewall] nivel de jerarquía:

Para obtener más información, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico.

Ejemplo: Configurar un filtro de tráfico entrante

Configure un filtro de firewall entrante. Este filtro realiza la comprobación final de la política de IPsec y se crea en la puerta de enlace de seguridad A. La comprobación de políticas garantiza que solo se acepten los paquetes que coincidan con el tráfico configurado para este túnel.

Aplicación del filtro de tráfico entrante a la interfaz de cifrado

Después de crear el filtro de firewall entrante, puede aplicarlo a la PIC ES. Para aplicar el filtro a la PIC ES, incluya la filter instrucción en el [edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter] nivel jerárquico:

El filtro de entrada es el nombre del filtro aplicado al tráfico recibido. Para ver un ejemplo de configuración, consulte Ejemplo: Configurar un filtro de tráfico entrante. Para obtener más información acerca de los filtros de firewall, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico.

Ejemplo: Aplicación del filtro de tráfico entrante a la interfaz de cifrado

Aplique el filtro de firewall entrante (ipsec-decrypt-policy-filter) al paquete descifrado para realizar la comprobación final de políticas. Se hace referencia a la SA IPsec manual-sa1 en el [edit interfaces es-1/2/0 unit 0 family inet] nivel de jerarquía y descifra el paquete entrante.

El motor de reenvío de paquetes dirige los paquetes IPsec a la PIC ES. Utiliza el índice de parámetros de seguridad (SPI) del paquete, el protocolo y la dirección de destino para buscar la SA configurada en una de las interfaces de ES. Se hace referencia a la SA IPsec manual-sa1 en el [edit interfaces es-1/2/0 unit 0 family inet] nivel de jerarquía y se utiliza para descifrar el paquete entrante. Cuando los paquetes se procesan (descifrados, autenticados o ambos), se aplica el filtro de firewall de entrada (ipsec-decrypt-policy-filter) en el paquete descifrado para realizar la comprobación final de política. term1 Define el tráfico descifrado (y verificado) y realiza la comprobación de política necesaria. Para obtener más información acerca de term1, consulte Ejemplo: Configurar un filtro de tráfico entrante.

Nota:

El filtro de tráfico entrante se aplica después de que la PIC ES ha procesado el paquete, por lo que el tráfico descifrado se define como cualquier tráfico que la puerta de enlace remota cifra y envía a este enrutador. IKE usa este filtro para determinar la política necesaria para un túnel. Esta política se utiliza durante la negociación con la puerta de enlace remota para encontrar la configuración de SA correspondiente.

Configuración de una interfaz de túnel ES para una VPN de capa 3

Para configurar una interfaz de túnel ES para una VPN de capa 3, debe configurar una interfaz de túnel ES en el enrutador de borde del proveedor (PE) y en el enrutador de borde del cliente (CE). También debe configurar IPsec en los enrutadores PE y CE. Para obtener más información acerca de cómo configurar un túnel ES para una VPN de capa 3, consulte la biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

Configuración de la redundancia de PIC DE ES

Puede configurar la redundancia de PIC DE ES en enrutadores serie M y T que tengan varias PIC ES. Con la redundancia de PIC de ES, una PIC de ES está activa y otra PIC de ES está en espera. Cuando la PIC de ES principal tiene un error de servicio, la copia de seguridad se activa, hereda todos los túneles y SA, y actúa como el nuevo salto siguiente para el tráfico de IPsec. El restablecimiento de túneles en la PIC ES de respaldo no requiere nuevas negociaciones de intercambio de claves por internet (IKE). Si la PIC ES principal entra en línea, permanece en espera y no se adelantó a la copia de seguridad. Para determinar qué PIC está actualmente activa, utilice el show ipsec redundancy comando.

Nota:

La redundancia de PIC ES se admite en enrutadores serie M y T.

Para configurar una PIC ES como copia de seguridad, incluya la backup-interface instrucción en el [edit interfaces fpc/pic/port es-options] nivel jerárquico:

Ejemplo: Configuración de redundancia de PIC ES

Después de crear el filtro de firewall entrante, aplíquelo a la PIC DE ES principal. Aquí, el filtro de firewall entrante (ipsec-decrypt-policy-filter) se aplica al paquete descifrado para realizar la comprobación final de la política. Se hace referencia a la SA IPsec manual-sa1 en el [edit interfaces es-1/2/0 unit 0 family inet] nivel de jerarquía y descifra el paquete entrante. En este ejemplo no se muestra la configuración de SA ni de filtro. Para obtener más información acerca de la configuración de SA y filtros, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento, las políticas de enrutamiento, filtros de firewall y políticas de tráfico guía del usuario, y ejemplo: Configuración de un filtro de tráfico entrante.

Configuración de redundancia de túnel IPsec

Puede configurar la redundancia de túnel IPsec especificando una dirección de destino de copia de seguridad. El enrutador local envía elementos de mantenimiento para determinar la accesibilidad del sitio remoto. Cuando el par ya no es accesible, se establece un nuevo túnel. Durante hasta 60 segundos durante la conmutación por error, el tráfico se pierde sin enviar notificaciones. La figura 2 muestra los túneles primarios y de copia de seguridad de IPsec.

Figura 2: Redundancia IPsec Tunnel Redundancy de túnel IPsec

Para configurar la redundancia de túnel IPsec, incluya la backup-destination instrucción en el [edit interfaces unit logical-unit-number tunnel] nivel jerárquico:

Nota:

La redundancia de túnel es compatible con enrutadores serie M y T.

Los destinos principal y de respaldo deben estar en enrutadores diferentes.

Los túneles deben ser distintos entre sí y las políticas deben coincidir.

Para obtener más información acerca de los túneles, consulte Configuración de interfaz de túnel en enrutadores serie MX.