VPN en sistemas lógicos
Una VPN es una conexión cifrada a través de Internet desde un dispositivo a una red. La conexión cifrada ayuda a garantizar que los datos confidenciales se transmitan de forma segura. VPN evita que el acceso no autorizado escuche el tráfico y permite al usuario realizar el trabajo de forma remota. Para obtener más información, consulte los temas siguientes:
Descripción de los túneles VPN basados en rutas en sistemas lógicos
Una conexión VPN puede proteger el tráfico que pasa entre un sistema lógico y un sitio remoto a través de una WAN. Con las VPN basadas en rutas, se configuran una o varias directivas de seguridad en un sistema lógico para regular el tráfico que fluye a través de un túnel único de seguridad IP (IPsec). Para cada túnel IPsec, hay un conjunto de asociaciones de seguridad (SA) de IKE e IPsec que el administrador principal debe configurar en el nivel raíz.
La interfaz externa configurada en la configuración de puerta de enlace solo puede formar parte del sistema lógico raíz.
Solo las VPN basadas en rutas son compatibles con los sistemas lógicos. No se admiten VPN basadas en políticas.
Además de configurar las SA de IKE e IPsec para cada VPN, el administrador principal también debe asignar una interfaz de túnel seguro (st0) a un sistema lógico de usuario. Una interfaz st0 sólo se puede asignar a un único sistema lógico de usuario. Sin embargo, a varios sistemas lógicos de usuario se les puede asignar su propia interfaz st0.
La interfaz st0 unidad 0 no debe asignarse a un sistema lógico, ya que no se puede configurar una SA para esta interfaz.
El administrador del sistema lógico de usuario puede configurar la dirección IP y otros atributos de la interfaz st0 asignados al sistema lógico de usuario. El administrador del sistema lógico de usuario no puede eliminar una interfaz st0 asignada a su sistema lógico de usuario.
Para las VPN basadas en rutas, una política de seguridad se refiere a una dirección de destino y no a un túnel VPN específico. Para que el tráfico de texto sin cifrar en un sistema lógico de usuario se envíe al túnel VPN para su encapsulación, el administrador del sistema lógico de usuario debe realizar las siguientes configuraciones:
Política de seguridad que permite el tráfico a un destino especificado.
Ruta estática al destino con la interfaz st0 como siguiente salto.
Cuando Junos OS busca rutas en el sistema lógico del usuario para encontrar la interfaz que se utilizará para enviar tráfico a la dirección de destino, encuentra una ruta estática a través de la interfaz st0. El tráfico se enruta al túnel VPN siempre que se permita la acción de la política de seguridad.
Los selectores de tráfico no son compatibles con los sistemas lógicos.
El sistema lógico principal y un sistema lógico de usuario pueden compartir un túnel VPN basado en rutas. El sistema lógico primario también puede utilizar una interfaz st0 asignada a un sistema lógico de usuario. Para el sistema lógico principal, el administrador principal configura una política de seguridad que permite el tráfico al destino remoto y una ruta estática al destino remoto con la interfaz st0 como salto siguiente.
La supervisión de VPN la configura el administrador principal del sistema lógico principal. Para la interfaz de origen del monitor VPN, el administrador principal debe especificar la interfaz st0; No se puede especificar una interfaz física para un sistema lógico de usuario.
Ver también
Ejemplo: configuración de SA de IKE e IPsec para un túnel VPN (solo administradores principales)
El administrador principal es responsable de asignar una interfaz st0 a un sistema lógico de usuario y de configurar las SA de IKE e IPsec en el nivel raíz para cada túnel VPN. En este ejemplo se muestra cómo asignar una interfaz st0 a un sistema lógico de usuario y configurar los parámetros SA de IKE e IPsec.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico principal como administrador principal. Consulte "Descripción de los sistemas lógicos principales y la función de administrador principal.
Visión general
En este ejemplo, se configura un túnel VPN para el sistema lógico de usuario ls-product-design. En este ejemplo se configuran los parámetros del túnel VPN descritos en la tabla 1.
Característica |
Nombre |
Parámetros de configuración |
---|---|---|
Interfaz de túnel |
Unidad ST0 1 |
Asignado al sistema lógico ls-product-design |
Propuesta de IKE |
ike-fase1-propuesta |
|
Política de IKE |
|
|
Puerta de enlace IKE |
IKE-GW |
|
Propuesta IPsec |
ipsec-fase2-propuesta |
|
Directiva IPsec |
Política de VPN1 |
|
VPN |
ike-vpn |
|
Monitoreo de VPN |
|
Para ike-vpn VPN:
|
Topología
La figura 1 muestra la topología del túnel VPN de los sistemas lógicos.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set logical-systems ls-product-design interfaces st0 unit 1 set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike-gw ike-policy ike-phase1-policy set security ike gateway ike-gw address 2.2.2.2 set security ike gateway ike-gw external-interface ge-0/0/3.0 set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2 set security ipsec policy vpn-policy1 proposals ipsec-phase2-proposal set security ipsec vpn ike-vpn bind-interface st0.1 set security ipsec vpn ike-vpn vpn-monitor source-interface st0.1 set security ipsec vpn ike-vpn vpn-monitor destination-ip 4.0.0.1 set security ipsec vpn ike-vpn ike gateway ike-gw set security ipsec vpn ike-vpn ike ipsec-policy vpn-policy1
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para asignar una interfaz de túnel VPN a un sistema lógico de usuario y configurar SA de IKE e IPsec:
Inicie sesión en el sistema lógico principal como administrador principal e ingrese al modo de configuración.
[edit] admin@host> configure admin@host#
Asigne una interfaz de túnel VPN.
[edit logical-systems ls-product-design] admin@host# set interfaces st0 unit 1
Configure una propuesta de IKE.
[edit security ike] admin@host# set proposal ike-phase1-proposal authentication-method pre-shared-keys admin@host# set proposal ike-phase1-proposal dh-group group2 admin@host# set proposal ike-phase1-proposal authentication-algorithm sha1 admin@host# set proposal ike-phase1-proposal encryption-algorithm aes-128-cbc
Configure una política de IKE.
[edit security ike] admin@host# set policy ike-phase1-policy mode main admin@host# set policy ike-phase1-policy proposals ike-phase1-proposal admin@host# set policy ike-phase1-policy pre-shared-key ascii-text 395psksecr3t
Configure una puerta de enlace IKE.
[edit security ike] admin@host# set gateway ike-gw external-interface ge-0/0/3.0 admin@host# set gateway ike-gw ike-policy ike-phase1-policy admin@host# set gateway ike-gw address 2.2.2.2
Configure una propuesta IPsec.
[edit security ipsec] admin@host# set proposal ipsec-phase2-proposal protocol esp admin@host# set proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 admin@host# set proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc
Configure una directiva IPsec.
[edit security ipsec] admin@host# set policy vpn-policy1 proposals ipsec-phase2-proposal admin@host# set policy vpn-policy1 perfect-forward-secrecy keys group2
Configure la VPN.
[edit security ipsec] admin@host# set vpn ike-vpn bind-interface st0.1 admin@host# set vpn ike-vpn ike gateway ike-gw admin@host# set vpn ike-vpn ike ipsec-policy vpn-policy1
Configure la supervisión de VPN.
[edit security ipsec] admin@host# set vpn ike-vpn vpn-monitor source-interface st0.1 admin@host# set vpn ike-vpn vpn-monitor destination-ip 4.0.0.1
Resultados
Desde el modo de configuración, escriba los comandos , y show security ipsec
para confirmar la show interfaces
configuración. show security ike
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit] admin@host# show interfaces st0 { unit 1; } [edit] admin@host# show security ike proposal ike-phase1-proposal { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm aes-128-cbc; } policy ike-phase1-policy { mode main; proposals ike-phase1-proposal; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway ike-gw { ike-policy ike-phase1-policy; address 2.2.2.2; external-interface ge-0/0/3.0; } [edit] admin@host# show security ipsec proposal ipsec-phase2-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy vpn-policy1 { perfect-forward-secrecy { keys group2; } proposals ipsec-phase2-proposal; } vpn ike-vpn { bind-interface st0.1; vpn-monitor { source-interface st0.1; destination-ip 4.0.0.1; } ike { gateway ike-gw; ipsec-policy vpn-policy1; } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificación del IKE en un sistema lógico
Propósito
Compruebe que la IKE es compatible con sistemas lógicos.
Acción
Desde el modo operativo, ingrese el show security ike sa detail
comando.
user@host> show security ike sa detail IKE peer 2.2.2.2, Index 7796166, Gateway Name: GW1 Role: Initiator, State: UP Initiator cookie: a1a6b1516bc43d54, Responder cookie: f0846e4239c817f8 Exchange type: Aggressive, Authentication method: Pre-shared-keys Local: 3.3.3.2:500, Remote: 2.2.2.2:500 Lifetime: Expires in 3585 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: 2.2.2.2 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha256-128 Encryption : aes256-cbc Pseudo random function: hmac-sha256 Diffie-Hellman group : DH-group-14 Traffic statistics: Input bytes : 1056 Output bytes : 1311 Input packets: 2 Output packets: 4 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 1 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 3.3.3.2:500, Remote: 2.2.2.2:500 Local identity: r0r2_store1@juniper.net Remote identity: 2.2.2.2 Flags: IKE SA is created
Significado
El resultado muestra información resumida sobre los detalles de ike.
Comprobación de IPsec en el sistema lógico
Propósito
Compruebe que la SA de IPsec es compatible con sistemas lógicos.
Acción
Desde el modo operativo, ingrese el show security ipsec sa detail
comando.
user@host> show security ipsec sa detail ID: 67109793 Virtual-system: root, VPN Name: VPN1 Local Gateway: 3.3.3.2, Remote Gateway: 2.2.2.2 Traffic Selector Name: VPN1_TS1 Local Identity: ipv4(51.0.1.0-51.0.1.255) Remote Identity: ipv4(41.0.1.0-41.0.1.255) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x2c608b29 Tunnel events: Wed Aug 16 2017 23:50:07 -0700: IPSec SA negotiation successfully completed (1 times) Wed Aug 16 2017 23:50:07 -0700: IKE SA negotiation successfully completed (1 times) Wed Aug 16 2017 23:49:46 -0700: Negotiation failed with error code AUTHENTICATION_FAILED received from peer (2 times) Wed Aug 16 2017 23:49:30 -0700: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: e651d79e, AUX-SPI: 0, VPN Monitoring: - Hard lifetime: Expires in 2552 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1988 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 8ac9ce8, AUX-SPI: 0, VPN Monitoring: - Hard lifetime: Expires in 2552 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1988 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado muestra información resumida sobre los detalles de ipsec.
Ejemplo: configuración de un túnel VPN basado en rutas en un sistema lógico de usuario
En este ejemplo se muestra cómo configurar un túnel VPN basado en rutas en un sistema lógico de usuario.
Requisitos
Antes de empezar:
Inicie sesión en el sistema lógico de usuario como administrador del sistema lógico. Consulte Descripción general de la configuración de sistemas lógicos de usuario.
Asegúrese de que se haya asignado una interfaz st0 al sistema lógico de usuario y de que el administrador principal configure las SA de IKE e IPsec en el nivel raíz. Consulte Ejemplo: Configuración de SA de IKE e IPsec para un túnel VPN (solo administradores principales).
Visión general
En este ejemplo, se configura el sistema lógico de usuario ls-product-design como se muestra en Ejemplo: Creación de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión.
Puede configurar los parámetros VPN basados en rutas que se describen en la tabla 2.
Característica |
Nombre |
Parámetros de configuración |
---|---|---|
Interfaz de túnel |
Unidad ST0 1 |
|
Ruta estática |
|
|
Política de seguridad |
a través de VPN |
Permita el siguiente tráfico:
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set interfaces st0 unit 1 family inet address 10.11.11.150/24 set routing-options static route 192.168.168.0/24 next-hop st0.1 set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy through-vpn match source-address any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy through-vpn match destination-address 192.168.168.0/24 set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy through-vpn match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy through-vpn then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar un túnel VPN basado en rutas en un sistema lógico de usuario:
Inicie sesión en el sistema lógico del usuario como administrador del sistema lógico y entre en el modo de configuración.
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
Configure la interfaz de túnel VPN.
[edit interfaces] lsdesignadmin1@host:ls-product-design# set st0 unit 1 family inet address 10.11.11.150/24
Cree una ruta estática al destino remoto.
[edit routing-options] lsdesignadmin1@host:ls-product-design# set static route 192.168.168.0/24 next-hop st0.1
Configure una política de seguridad para permitir el tráfico al destino remoto.
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy through-vpn match source-address any lsdesignadmin1@host:ls-product-design# set policy through-vpn match destination-address 192.168.168.0/24 lsdesignadmin1@host:ls-product-design# set policy through-vpn match application any lsdesignadmin1@host:ls-product-design# set policy through-vpn then permit
Resultados
Desde el modo de configuración, escriba los comandos , y show security policies
para confirmar la show interfaces st0
configuración. show routing-options
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit] lsdesignadmin1@host:ls-product-design# show interfaces st0 unit 1 { family inet { address 10.11.11.150/24; } } lsdesignadmin1@host:ls-product-design# show routing-options static { route 192.168.168.0/24 next-hop st0.1; } [edit] lsdesignadmin1@host:ls-product-design# show security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust { policy through-vpn { match { source-address any; destination-address 192.168.168.0/24; application any; } then { permit; } } ... }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host del sistema lógico de usuario a un host de la red 192.168.168.0/24. Por ejemplo, inicie un ping desde un host en la subred 12.1.1.0/24 en el sistema lógico de usuario ls-product-design al host 192.168.168.10.
Verificación del estado de la fase 1 de IKE
Propósito
Verifique el estado de la fase 1 de IKE.
Acción
Desde el modo operativo, ingrese el show security ike security-associations
comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail
comando.
Para obtener ejemplos de resultados y significados, consulte la sección "Verificación" de Ejemplo: Configuración de una VPN basada en rutas.
Comprobación del estado de fase 2 de IPsec
Propósito
Compruebe el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations
comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail
comando.
Para obtener ejemplos de resultados y significados, consulte la sección "Verificación" de Ejemplo: Configuración de una VPN basada en rutas.