Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN en sistemas lógicos

Una VPN es una conexión cifrada a través de Internet desde un dispositivo a una red. La conexión cifrada ayuda a garantizar que los datos confidenciales se transmitan de forma segura. VPN evita que el acceso no autorizado escuche el tráfico y permite al usuario realizar el trabajo de forma remota. Para obtener más información, consulte los temas siguientes:

Descripción de los túneles VPN basados en rutas en sistemas lógicos

Una conexión VPN puede proteger el tráfico que pasa entre un sistema lógico y un sitio remoto a través de una WAN. Con las VPN basadas en rutas, se configuran una o varias directivas de seguridad en un sistema lógico para regular el tráfico que fluye a través de un túnel único de seguridad IP (IPsec). Para cada túnel IPsec, hay un conjunto de asociaciones de seguridad (SA) de IKE e IPsec que el administrador principal debe configurar en el nivel raíz.

Nota:

La interfaz externa configurada en la configuración de puerta de enlace solo puede formar parte del sistema lógico raíz.

Nota:

Solo las VPN basadas en rutas son compatibles con los sistemas lógicos. No se admiten VPN basadas en políticas.

Además de configurar las SA de IKE e IPsec para cada VPN, el administrador principal también debe asignar una interfaz de túnel seguro (st0) a un sistema lógico de usuario. Una interfaz st0 sólo se puede asignar a un único sistema lógico de usuario. Sin embargo, a varios sistemas lógicos de usuario se les puede asignar su propia interfaz st0.

Nota:

La interfaz st0 unidad 0 no debe asignarse a un sistema lógico, ya que no se puede configurar una SA para esta interfaz.

El administrador del sistema lógico de usuario puede configurar la dirección IP y otros atributos de la interfaz st0 asignados al sistema lógico de usuario. El administrador del sistema lógico de usuario no puede eliminar una interfaz st0 asignada a su sistema lógico de usuario.

Para las VPN basadas en rutas, una política de seguridad se refiere a una dirección de destino y no a un túnel VPN específico. Para que el tráfico de texto sin cifrar en un sistema lógico de usuario se envíe al túnel VPN para su encapsulación, el administrador del sistema lógico de usuario debe realizar las siguientes configuraciones:

  • Política de seguridad que permite el tráfico a un destino especificado.

  • Ruta estática al destino con la interfaz st0 como siguiente salto.

Cuando Junos OS busca rutas en el sistema lógico del usuario para encontrar la interfaz que se utilizará para enviar tráfico a la dirección de destino, encuentra una ruta estática a través de la interfaz st0. El tráfico se enruta al túnel VPN siempre que se permita la acción de la política de seguridad.

Nota:

Los selectores de tráfico no son compatibles con los sistemas lógicos.

El sistema lógico principal y un sistema lógico de usuario pueden compartir un túnel VPN basado en rutas. El sistema lógico primario también puede utilizar una interfaz st0 asignada a un sistema lógico de usuario. Para el sistema lógico principal, el administrador principal configura una política de seguridad que permite el tráfico al destino remoto y una ruta estática al destino remoto con la interfaz st0 como salto siguiente.

La supervisión de VPN la configura el administrador principal del sistema lógico principal. Para la interfaz de origen del monitor VPN, el administrador principal debe especificar la interfaz st0; No se puede especificar una interfaz física para un sistema lógico de usuario.

Ejemplo: configuración de SA de IKE e IPsec para un túnel VPN (solo administradores principales)

El administrador principal es responsable de asignar una interfaz st0 a un sistema lógico de usuario y de configurar las SA de IKE e IPsec en el nivel raíz para cada túnel VPN. En este ejemplo se muestra cómo asignar una interfaz st0 a un sistema lógico de usuario y configurar los parámetros SA de IKE e IPsec.

Requisitos

Antes de empezar:

Visión general

En este ejemplo, se configura un túnel VPN para el sistema lógico de usuario ls-product-design. En este ejemplo se configuran los parámetros del túnel VPN descritos en la tabla 1.

Tabla 1: Configuración del túnel VPN del sistema lógico

Característica

Nombre

Parámetros de configuración

Interfaz de túnel

Unidad ST0 1

Asignado al sistema lógico ls-product-design

Propuesta de IKE

ike-fase1-propuesta

  • Autenticación de claves previamente compartidas

  • Grupo Diffie-Hellman 2

  • Algoritmo de autenticación SHA1

  • Algoritmo de cifrado AES-128-CBC

Política de IKE

  • Modo principal

  • Referencias Propuesta IKE ike-phase1-proposal

  • Clave ASCII previamente compartida 395psksecr3t

Puerta de enlace IKE

IKE-GW

  • Interfaz externa ge-0/0/3.0

  • Referencias Política de IKE ike-phase1-policy

  • Dirección 2.2.2.2

Propuesta IPsec

ipsec-fase2-propuesta

  • Protocolo ESP

  • Algoritmo de autenticación HMAC-SHA1-96

  • Algoritmo de cifrado AES-128-CBC

Directiva IPsec

Política de VPN1

  • Referencias ipsec-phase2-proposal

  • grupo de claves perfect-forward-secrecy2

VPN

ike-vpn

  • interfaz de enlace st0.1

  • Referencias ike-gw gateway

  • Referencias política vpn-policy1

Monitoreo de VPN

Para ike-vpn VPN:

  • interfaz de origen st0.1

  • ip-destino 4.0.0.1

Topología

La figura 1 muestra la topología del túnel VPN de los sistemas lógicos.

Figura 1: Túnel Logical systems VPN tunnel VPN de sistemas lógicos

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para asignar una interfaz de túnel VPN a un sistema lógico de usuario y configurar SA de IKE e IPsec:

  1. Inicie sesión en el sistema lógico principal como administrador principal e ingrese al modo de configuración.

  2. Asigne una interfaz de túnel VPN.

  3. Configure una propuesta de IKE.

  4. Configure una política de IKE.

  5. Configure una puerta de enlace IKE.

  6. Configure una propuesta IPsec.

  7. Configure una directiva IPsec.

  8. Configure la VPN.

  9. Configure la supervisión de VPN.

Resultados

Desde el modo de configuración, escriba los comandos , y show security ipsec para confirmar la show interfacesconfiguración. show security ike Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación del IKE en un sistema lógico

Propósito

Compruebe que la IKE es compatible con sistemas lógicos.

Acción

Desde el modo operativo, ingrese el show security ike sa detail comando.

Significado

El resultado muestra información resumida sobre los detalles de ike.

Comprobación de IPsec en el sistema lógico

Propósito

Compruebe que la SA de IPsec es compatible con sistemas lógicos.

Acción

Desde el modo operativo, ingrese el show security ipsec sa detail comando.

Significado

El resultado muestra información resumida sobre los detalles de ipsec.

Ejemplo: configuración de un túnel VPN basado en rutas en un sistema lógico de usuario

En este ejemplo se muestra cómo configurar un túnel VPN basado en rutas en un sistema lógico de usuario.

Requisitos

Antes de empezar:

Visión general

En este ejemplo, se configura el sistema lógico de usuario ls-product-design como se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.

Puede configurar los parámetros VPN basados en rutas que se describen en la tabla 2.

Tabla 2: Configuración de VPN basada en rutas del sistema lógico de usuario

Característica

Nombre

Parámetros de configuración

Interfaz de túnel

Unidad ST0 1

  • Familia de protocolos IPv4 (inet)

  • Dirección IP 10.11.11.150/24

Ruta estática

  • Destino 192.168.168.0/24

  • Siguiente salto st0.1

Política de seguridad

a través de VPN

Permita el siguiente tráfico:

  • Desde la zona: ls-product-design-trust

  • Para zona: ls-product-design-untrust

  • Dirección de origen: cualquiera

  • Dirección de destino: 192.168.168.0/24

  • Aplicación: cualquiera

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar un túnel VPN basado en rutas en un sistema lógico de usuario:

  1. Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y entre en el modo de configuración.

  2. Configure la interfaz de túnel VPN.

  3. Cree una ruta estática al destino remoto.

  4. Configure una política de seguridad para permitir el tráfico al destino remoto.

Resultados

Desde el modo de configuración, escriba los comandos , y show security policies para confirmar la show interfaces st0configuración. show routing-options Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Nota:

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host del sistema lógico de usuario a un host de la red 192.168.168.0/24. Por ejemplo, inicie un ping desde un host en la subred 12.1.1.0/24 en el sistema lógico de usuario ls-product-design al host 192.168.168.10.

Verificación del estado de la fase 1 de IKE

Propósito

Verifique el estado de la fase 1 de IKE.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.

Para obtener ejemplos de resultados y significados, consulte la sección "Verificación" de Ejemplo: Configuración de una VPN basada en rutas.

Comprobación del estado de fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.

Para obtener ejemplos de resultados y significados, consulte la sección "Verificación" de Ejemplo: Configuración de una VPN basada en rutas.