Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de asociaciones de seguridad

Configuración de asociaciones de seguridad

El primer paso de configuración de IPsec es seleccionar un tipo de asociación de seguridad (SA) para su conexión IPsec. Debe configurar estáticamente todas las especificaciones para SA manuales, pero puede confiar en algunos valores predeterminados cuando configure una SA dinámica de IKE. Para configurar una asociación de seguridad, consulte las siguientes secciones.

Configuración de SA manuales

En la PIC de ES, configure una asociación de seguridad manual en el [edit security ipsec security-association name] nivel jerárquico. Incluya sus opciones de autenticación, cifrado, dirección, modo, protocolo y SPI. Asegúrese de que estas opciones están configuradas exactamente de la misma manera en la puerta de enlace IPsec remota.

En las PIC de AS y multiservicios, configure una asociación de seguridad manual en el [edit services ipsec-vpn rule rule-name] nivel jerárquico. Incluya sus opciones de autenticación, cifrado, dirección, protocolo y SPI. Asegúrese de que estas opciones están configuradas exactamente de la misma manera en la puerta de enlace IPsec remota.

Configuración de SA dinámicas de ICR

En la PIC de ES, configure una SA dinámica de IKE en los [edit security ike] niveles de jerarquía y [edit security ipsec] . Incluya sus opciones para políticas y propuestas de IKE, que incluyen opciones para algoritmos de autenticación, métodos de autenticación, grupos Diffie-Hellman, cifrado, modos IKE y claves previamente compartidas. La política IKE debe usar la dirección IP del extremo remoto del túnel IPsec como nombre de política. Además, incluya sus opciones para políticas y propuestas de IPsec, que incluyen opciones para autenticación, cifrado, protocolos, confidencialidad directa perfecta (PFS) y modos IPsec. Asegúrese de que estas opciones están configuradas exactamente de la misma manera en la puerta de enlace IPsec remota.

En las PIC de AS y multiservicios, configure una asociación de seguridad dinámica de IKE en los [edit services ipsec-vpn ike]niveles de jerarquía y , [edit services ipsec-vpn ipsec]y [edit services ipsec-vpn rule rule-name] . Incluya sus opciones para políticas y propuestas de IKE, que incluyen opciones para algoritmos de autenticación, métodos de autenticación, grupos Diffie-Hellman, cifrado, modos IKE y claves previamente compartidas. Además, incluya sus opciones para políticas y propuestas de IPsec, que incluyen opciones para autenticación, cifrado, protocolos, PFS y modos IPsec. Asegúrese de que estas opciones están configuradas exactamente de la misma manera en la puerta de enlace IPsec remota.

Si elige no configurar explícitamente las políticas y propuestas de IKE e IPsec en las PIC de AS y multiservicios, su configuración puede establecer de forma predeterminada algunos valores preestablecidos. Estos valores predeterminados se muestran en la tabla 1.

Tabla 1: Propuesta de IKE e IPsec y valores predeterminados de política para las PIC de AS y multiservicios

Declaración de política de IKE

Valor predeterminado

Modo

Principal

Propuestas

Predeterminado

Declaración de propuesta de ICR

Valor predeterminado

algoritmo de autenticación

sha1

método de autenticación

claves previamente compartidas

grupo dh

grupo 2

algoritmo de cifrado

3des-cbc

segundos de vida útil

3600 (segundos)

Instrucción de política IPsec

Valor predeterminado

claves de confidencialidad perfectas para el futuro

grupo 2

Propuestas

Predeterminado

Instrucción de propuesta de IPsec

Valor predeterminado

algoritmo de autenticación

hmac-sha1-96

algoritmo de cifrado

3des-cbc

segundos de vida útil

28800 (segundos)

Protocolo

Esp

Nota:

Si usa los valores predeterminados de propuesta y política IKE e IPsec dentro de las PIC de AS y multiservicios, debe configurar explícitamente una política IKE e incluir una clave previamente compartida. Esto se debe a que el método de autenticación de claves previamente compartidas es uno de los valores preestablecidos de la propuesta predeterminada de IKE.

Nota:

A partir de la versión 14.2 de Junos OS, en un entorno en el que los enrutadores de la serie MX de Juniper Networks interoperan con dispositivos Cisco ASA, las asociaciones de seguridad IKE (SA) y las SA IPsec se eliminan inmediatamente en los dispositivos de Cisco ASA, pero se conservan en los enrutadores de la serie MX. Como resultado, la pérdida de tráfico del 100 por ciento ocurre en los enrutadores MX cuando el tráfico se inicia desde los enrutadores de la serie MX o los dispositivos Cisco ASA. Este problema de pérdida excesiva de tráfico ocurre cuando se reinicia una PIC de servicio en enrutadores serie MX, se reinicia una tarjeta de línea en los enrutadores serie MX, o cuando una secuencia de comandos de apagado/sin apagado o un cambio en la configuración de velocidad se realiza en los dispositivos Cisco ASA. Para evitar este problema de la preservación de las SA de IKE y IPsec en una implementación de este tipo, debe eliminar manualmente las SA IPsec y IKE mediante la introducción de los clear ipsec security-associations comandos y clear ike security-associations , respectivamente.

Si decide configurar valores manualmente, la siguiente información muestra la jerarquía de instrucciones completa y las opciones para SA de IKE dinámicas en las PIC de AS y multiservicios:

Tabla de historial de versiones
Lanzamiento
Descripción
14.2
A partir de la versión 14.2 de Junos OS, en un entorno en el que los enrutadores de la serie MX de Juniper Networks interoperan con dispositivos Cisco ASA, las asociaciones de seguridad IKE (SA) y las SA IPsec se eliminan inmediatamente en los dispositivos de Cisco ASA, pero se conservan en los enrutadores de la serie MX.