Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: configuración SA dinámica de IKE como PIC

Figura 1: Diagrama de topología SA dinámica de AS PIC IKE AS PIC IKE Dynamic SA Topology Diagram

La figura 1 muestra la misma topología IPSec que se ve en el ejemplo de SA manual de AS PIC. Sin embargo, esta configuración requiere que los enrutadores 2 y 3 establezcan un túnel IPSec mediante una SA dinámica IKE, autenticación mejorada y un cifrado más sólido. Los enrutadores 1 y 4 siguen proporcionando conectividad básica y se utilizan para verificar que el túnel IPSec esté operativo.

Nota:

Cuando no se especifica una propuesta de IKE, una propuesta de IPSec y una política de IPSec en una PIC AS, Junos OS utiliza de forma predeterminada el nivel más alto de cifrado y autenticación. Como resultado, el protocolo de autenticación predeterminado es ESP, el modo de autenticación predeterminado es HMAC-SHA1-96 y el modo de cifrado predeterminado es 3DES-CBC. Para obtener más información acerca de las políticas y propuestas predeterminadas de IKE e IPSec en la PIC AS, consulte Configuración de SA dinámicas de IKE.

En el enrutador 1, proporcione conectividad OSPF básica al enrutador 2.

Enrutador 1

En el enrutador 2, habilite OSPF como protocolo de enrutamiento subyacente para conectarse a los enrutadores 1 y 3. Configure una SA dinámica de IKE bidireccional en una regla denominada rule-ike en el nivel jerárquico [edit ipsec-vpn rule] . Haga referencia a esta regla en un conjunto de servicios denominado service-set-dynamic-BiEspsha3des en el nivel jerárquico [edit services service-set] .

Con los valores predeterminados de la PIC AS, no es necesario especificar una propuesta IPsec, una política IPsec o una propuesta IKE. Sin embargo, debe configurar una clave previamente compartida en una política de IKE con la pre-shared-key instrucción en el nivel de [edit services ipsec-vpn ike policy policy-name] jerarquía. (Para obtener más información acerca de las políticas y propuestas predeterminadas de IKE e IPsec en la PIC AS, consulte Configuración de SA dinámicas de IKE).

Para dirigir el tráfico hacia la PIC del AS y el túnel IPSec, configure un conjunto de servicios de estilo de salto siguiente y agregue la interfaz lógica de servicios adaptables utilizada como interfaz interna IPSec a la configuración de OSPF.

Enrutador 2

En el enrutador 3, habilite OSPF como protocolo de enrutamiento subyacente para conectarse a los enrutadores 2 y 4. Configure una SA dinámica de IKE bidireccional en una regla denominada rule-ike en el nivel jerárquico [edit ipsec-vpn rule] . Haga referencia a esta regla en un conjunto de servicios denominado service-set-dynamic-BiEspsha3des en el nivel jerárquico [edit services service-set] .

De nuevo, utilice las mismas políticas y propuestas predeterminadas que utilizó en el enrutador 2. Sin embargo, recuerde configurar una clave previamente compartida en una política IKE con la instrucción pre-shared-key en el nivel jerárquico [edit services ipsec-vpn ike policy policy-name]. La clave debe coincidir con la especificada en el enrutador 2. (Para obtener más información acerca de las políticas y propuestas predeterminadas de IKE e IPSec en la PIC AS, consulte Configuración de SA dinámicas de IKE).

Para dirigir el tráfico hacia la PIC del AS y el túnel IPSec, configure un conjunto de servicios de estilo de salto siguiente y agregue la interfaz lógica de servicios adaptables utilizada como interfaz interna IPSec a la configuración de OSPF.

Enrutador 3

En el enrutador 4, proporcione conectividad OSPF básica al enrutador 3.

Enrutador 4

Verificación de su trabajo

Para comprobar el correcto funcionamiento de una SA dinámica basada en IKE en la PIC AS, utilice los siguientes comandos:

  • Señal

  • show services ipsec-vpn ike security-associations (detail)

  • show services ipsec-vpn ipsec security-associations (detail)

  • show services ipsec-vpn ipsec statistics

  • traceroute

En las secciones siguientes se muestra el resultado de estos comandos utilizados con el ejemplo de configuración:

Enrutador 1

En el enrutador 1, emita un comando ping a la interfaz so-0/0/0 del enrutador 4 para enviar tráfico a través del túnel IPSec.

Enrutador 2

Para comprobar que la negociación de SA de IKE se ha realizado correctamente, ejecute el show services ipsec-vpn ike security-associations comando.

Para comprobar que la asociación de seguridad IPsec está activa, ejecute el show services ipsec-vpn ipsec security-associations detail comando. Observe que la SA contiene la configuración predeterminada inherente a la PIC AS, como ESP para el protocolo y HMAC-SHA1-96 para el algoritmo de autenticación.

Para comprobar que el tráfico viaja por el túnel IPSec bidireccional, ejecute el comando show services ipsec-vpn statistics :

Malos encabezados: 0, Malos trailers: 0

Enrutador 3

Para comprobar que la negociación de SA de IKE se ha realizado correctamente, ejecute el show services ipsec-vpn ike security-associations comando. Para que se realice correctamente, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Para comprobar que la SA de IPsec está activa, ejecute el show services ipsec-vpn ipsec security-associations detail comando. Para que se realice correctamente, la SA del enrutador 3 debe contener la misma configuración que especificó en el enrutador 2.

Para comprobar que el tráfico viaja a través del túnel IPsec bidireccional, emita el show services ipsec-vpn statistics comando:

Malos encabezados: 0, Malos trailers: 0

Enrutador 4

En el enrutador 4, envíe un ping comando a la interfaz so-0/0/0 del enrutador 1 para enviar tráfico a través del túnel IPsec.

La última forma de confirmar que el tráfico viaja a través del túnel IPsec es emitiendo el comando a la interfaz so-0/0/0 en el traceroute enrutador 1. Tenga en cuenta que no se hace referencia a la interfaz física entre los enrutadores 2 y 3 en la ruta; el tráfico entra en el túnel IPSec a través de la interfaz interna IPSec de servicios adaptativos del enrutador 3, pasa por la interfaz de circuito cerrado del enrutador 2 y termina en la interfaz so-0/0/0 del enrutador 1.