VPN IPsec basada en políticas
Una VPN basada en políticas es una configuración en la que se especifica un túnel VPN IPsec creado entre dos puntos de conexión dentro de la propia política con una acción de política para el tráfico de tránsito que cumple los criterios de coincidencia de la política.
Descripción de VPN de IPsec basadas en políticas
Para las VPN IPsec basadas en políticas, una política de seguridad especifica como acción el túnel VPN que se usará para el tráfico de tránsito que cumpla los criterios de coincidencia de la política. Una VPN se configura independientemente de una declaración de política. La instrucción de política hace referencia a la VPN por su nombre para especificar el tráfico al que se le permite el acceso al túnel. Para las VPN basadas en políticas, cada política crea una asociación de seguridad (SA) IPsec individual con el par remoto, cada una de las cuales cuenta como un túnel VPN individual. Por ejemplo, si una directiva contiene una dirección de origen de grupo y una dirección de destino de grupo, cada vez que uno de los usuarios que pertenecen al conjunto de direcciones intenta comunicarse con cualquiera de los hosts especificados como dirección de destino, se negocia y establece un nuevo túnel. Dado que cada túnel requiere su propio proceso de negociación y un par independiente de SA, el uso de VPN IPsec basadas en políticas puede consumir más recursos que las VPN basadas en rutas.
Ejemplos de dónde se pueden usar las VPN basadas en políticas:
Está implementando una VPN de acceso telefónico.
Las VPN basadas en políticas le permiten dirigir el tráfico en función de las políticas de firewall.
Le recomendamos que utilice VPN basada en rutas cuando desee configurar una VPN entre varios sitios remotos. Las VPN basadas en rutas pueden proporcionar las mismas capacidades que las VPN basadas en políticas.
Limitaciones:
-
Las VPN IPSec basadas en políticas no son compatibles con IKEv2.
-
La compatibilidad con VPN IPsec basada en políticas no está disponible cuando se usa
junos-ike
el paquete con el firewall en proceso de ejecucióniked
para el servicio VPN IPsec. Conjunos-ike
el paquete, elimine cualquier configuración de VPN IPsec basada en políticas, ya que no es eficaz. Tenga en cuenta que en SRX5K-SPC3 con RE3, eljunos-ike
paquete está disponible de forma predeterminada. En plataformas SRX1500 y superiores, es un paquete opcional. Consulte Compatibilidad de la característica VPN IPsec con el nuevo paquete para obtener más detalles.
Consulte también
Ejemplo: Configurar una VPN basada en políticas
En este ejemplo se muestra cómo configurar una VPN IPsec basada en políticas para permitir que los datos se transfieran de forma segura entre dos sitios.
Requisitos
En este ejemplo, se utiliza el siguiente hardware:
-
Cualquier firewall de la serie SRX
- Se actualizó y revalidó mediante el firewall virtual vSRX en Junos OS versión 20.4R1.
¿Está interesado en obtener experiencia práctica con los temas y operaciones cubiertos en esta guía? Visite la demostración basada en políticas IPsec en los laboratorios virtuales de Juniper Networks y reserve su sandbox gratis hoy mismo. Encontrará el espacio aislado basado en políticas de VPN IPsec en la categoría Seguridad.
Antes de comenzar, lea Información general sobre IPsec.
Descripción general
En este ejemplo, se configura una VPN basada en políticas en SRX1 y SRX2. Host1 y Host2 usan la VPN para enviar tráfico de forma segura a través de Internet entre ambos hosts.
Figura 1 muestra un ejemplo de una topología VPN basada en políticas.

La negociación del túnel IPsec de IKE se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la asociación de seguridad (SA) IPsec. En la fase 2, los participantes negocian la SA de IPsec para autenticar el tráfico que fluirá a través del túnel. Así como hay dos fases para la negociación del túnel, hay dos fases para la configuración del túnel.
En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A continuación, configure la fase 1 de IKE, la fase 2 de IPsec, la directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 1 a través de Tabla 5.
Característica |
Nombre |
Parámetros de configuración |
---|---|---|
Interfaces |
ge-0/0/0.0 |
10.100.11.1/24 |
ge-0/0/1.0 |
172.16.13.1/24 |
|
Zonas de seguridad |
confiar |
|
no confiar |
|
|
Rutas estáticas |
0.0.0.0/0 |
|
Característica |
Nombre |
Parámetros de configuración |
---|---|---|
Propuesta |
estándar |
|
Política |
IKE-POL |
|
Puerta de enlace |
IKE-GW |
|
Característica |
Nombre |
Parámetros de configuración |
---|---|---|
Propuesta |
estándar |
|
Política |
IPSEC-POL |
|
VPN |
VPN a host2 |
|
Propósito |
Nombre |
Parámetros de configuración |
---|---|---|
Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza. |
SALIDA VPN |
|
Esta política de seguridad permite el tráfico desde la zona de no confianza a la zona de confianza. |
ENTRADA VPN |
|
Esta política de seguridad permite todo el tráfico desde la zona de confianza a la zona que no es de confianza. Debe colocar la política de VPN-OUT antes de la directiva de seguridad de permisos predeterminados. Junos OS realiza una búsqueda de políticas de seguridad comenzando en la parte superior de la lista. Si la directiva de permisos predeterminados precede a la directiva de VPN-Out, todo el tráfico de la zona de confianza coincide con la directiva de permisos predeterminados y se permite. Por lo tanto, ningún tráfico coincidirá con la política de VPN-OUT. |
default-permit |
|
Propósito |
Parámetros de configuración |
---|---|
TCP-MSS se negocia como parte del protocolo de enlace de tres vías TCP y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de la unidad máxima de transmisión (MTU) en una red. Esto es especialmente importante para el tráfico VPN, ya que la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y trama, puede hacer que el paquete de carga de seguridad de encapsulación (ESP) resultante supere la MTU de la interfaz física, lo que provoca fragmentación. La fragmentación da como resultado un mayor uso del ancho de banda y de los recursos del dispositivo. Se recomienda un valor 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo en la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay. |
Valor MSS: 1350 |
Configuración
- Configuración de información básica de red y zonas de seguridad
- Configurar ICR
- Configurar IPsec
- Configuración de políticas de seguridad
- Configurar TCP-MSS
- Configuración de SRX2
Configuración de información básica de red y zonas de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar la información de la interfaz, la ruta estática y la zona de seguridad:
-
Configure las interfaces.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32
-
Configure las rutas estáticas.
[edit] user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
Asigne la interfaz orientada a Internet a la zona de seguridad que no es de confianza.
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Asigne la interfaz orientada a Host1 a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
Resultados
Desde el modo de configuración, escriba los comandos , y show security zones
para confirmar la show interfaces
configuración. show routing-options
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@SRX1# show interfaces ge-0/0/0 { unit 0 { family inet { address 10.100.11.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 172.16.13.1/24; } } } lo0 { unit 0 { family inet { address 10.100.100.1/32; } } }
[edit] user@SRX1# show routing-options static { route 0.0.0.0/0 next-hop 172.16.13.2; }
[edit] user@SRX1# show security zones security-zone trust { host-inbound-traffic { system-services { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { ike; ping; } } interfaces { ge-0/0/1.0; } }
Configurar ICR
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar ICR:
-
Cree la propuesta de ICR.
[edit security ike] user@SRX1# set proposal standard
-
Defina el método de autenticación de la propuesta de ICR.
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
Cree la política de IKE.
[edit security ike] user@SRX1# set policy IKE-POL
-
Establezca el modo de política de ICR.
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
Especifique una referencia a la propuesta de ICR.
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
Defina el método de autenticación de política de ICR.
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
Cree la puerta de enlace IKE y defina su interfaz externa.
[edit security ike gateway IKE-GW] user@SRX1# set external-interface ge-0/0/1.0
-
Defina la dirección de puerta de enlace de ICR.
[edit security ike gateway IKE-GW] user@SRX1# address 172.16.23.1
-
Defina la referencia de política de ICR.
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
Resultados
Desde el modo de configuración, confírmela con el comando show security ike
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security ike proposal standard { authentication-method pre-shared-keys; } policy IKE-POL { mode main; proposals standard; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } gateway IKE-GW { ike-policy IKE-POL; address 172.16.23.1; external-interface ge-0/0/1; }
Configurar IPsec
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar IPsec:
-
Cree la propuesta IPsec.
[edit] user@SRX1# set security ipsec proposal standard
-
Cree la política de IPsec.
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
Especifique la referencia de propuesta de IPsec.
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
Especifique la puerta de enlace de ICR.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
Especifique la política de IPsec.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
Configure el túnel para que se establezca inmediatamente.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 establish-tunnels immediately
Resultados
Desde el modo de configuración, confírmela con el comando show security ipsec
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@SRX1# show security ipsec proposal standard; policy IPSEC-POL { proposals standard; } vpn VPN-to-Host2 { ike { gateway IKE-GW; ipsec-policy IPSEC-POL; } establish-tunnels immediately; }
Configuración de políticas de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone untrust set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar políticas de seguridad:
-
Cree entradas de libreta de direcciones para las redes que se usarán en las directivas de seguridad.
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone untrust
-
Cree la política de seguridad para que coincida con el tráfico del Host1 en la zona de confianza al Host2 en la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2
-
Cree la política de seguridad para permitir el resto del tráfico a Internet desde la zona de confianza a la zona que no es de confianza.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
Cree una política de seguridad para permitir el tráfico desde el Host2 en la zona que no es de confianza hasta el Host1 en la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@SRX1# set policy VPN-IN match source-address Host2-Net user@SRX1# set policy VPN-IN match destination-address Host1-Net user@SRX1# set policy VPN-IN match application any user@SRX1# set policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Resultados
Desde el modo de configuración, confírmela con el comando show security policies
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@SRX1# show security policies from-zone trust to-zone untrust { policy VPN-OUT { match { source-address Host1-Net; destination-address Host2-Net; application any; } then { permit { tunnel { ipsec-vpn VPN-to-Host2; } } } } policy default-permit { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy VPN-IN { match { source-address Host2-Net; destination-address Host1-Net; application any; } then { permit { tunnel { ipsec-vpn VPN-to-Host2; } } } } }
Configurar TCP-MSS
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit
desde el [edit]
modo de configuración.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimiento paso a paso
Para configurar la información TCP-MSS:
-
Configure la información de TCP-MSS.
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, confírmela con el comando show security flow
. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@SRX1# show security flow tcp-mss { ipsec-vpn { mss 1350; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de SRX2
Configuración rápida de CLI
Como referencia, se proporciona la configuración de SRX2.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit desde el modo de configuración.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone untrust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Verificación del estado de ICR
- Comprobación del estado de fase 2 de IPsec
- Probar el flujo de tráfico a través de la VPN
- Revisar estadísticas y errores para una asociación de seguridad IPsec
Verificación del estado de ICR
Propósito
Verifique el estado de ICR.
Acción
Desde el modo operativo, ingrese el comando show security ike security-associations
. Después de obtener un número de índice desde el comando, utilice el comando show security ike security-associations index index_number detail
.
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1859361 UP 9788fa59c3ee2e2a 0b17e52f34b83aba Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859361 detail IKE peer 172.16.23.1, Index 1859361, Gateway Name: IKE-GW Role: Responder, State: UP Initiator cookie: 9788fa59c3ee2e2a, Responder cookie: 0b17e52f34b83aba Exchange type: Main, Authentication method: Pre-shared-keys Local: 172.16.13.1:500, Remote: 172.16.23.1:500 Lifetime: Expires in 17567 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: 172.16.23.1 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1740 Output bytes : 1132 Input packets: 15 Output packets: 7 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 4 created, 4 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 172.16.13.1:500, Remote: 172.16.23.1:500 Local identity: 172.16.13.1 Remote identity: 172.16.23.1 Flags: IKE SA is created
Significado
El show security ike security-associations
comando enumera todas las asociaciones de seguridad (SA) de fase 1 de IKE activas. Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si las SA aparecen en la lista, revise la siguiente información:
-
Índice: este valor es único para cada SA de IKE, que puede utilizar en el
show security ike security-associations index detail
comando para obtener más información acerca de la SA. -
Dirección remota: compruebe que la dirección IP remota sea correcta.
-
Estado
-
UP: se estableció la SA de fase 1.
-
DOWN: hubo un problema al establecer la SA de fase 1.
-
-
Modo: verifica que se esté utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
-
Parámetros de política de ICR
-
Información de claves precompartidas
-
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El comando show security ike security-associations index 1859361 detail
enumera información adicional acerca de la asociación de seguridad con el número de índice 1859361:
-
Algoritmos de autenticación y cifrado utilizados
-
Duración de la fase 1
-
Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)
-
Información de la función del iniciador y del respondedor
La solución de problemas se realiza de mejor manera en el mismo nivel que usa la función de respondedor.
-
Cantidad de SA de IPsec creadas
-
Número de negociaciones de la Fase 2 en curso
Comprobación del estado de fase 2 de IPsec
Propósito
Compruebe el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec security-associations
. Después de obtener un número de índice desde el comando, utilice el comando show security ipsec security-associations index index_number detail
.
user@SRX1 show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/sha1 ae5afc5a 921/ unlim - root 500 172.16.23.1 >2 ESP:3des/sha1 6388a743 921/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 2 detail ID: 2 Virtual-system: root, VPN Name: VPN-to-Host2 Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1 Local Identity: ipv4_subnet(any:0,[0..7]=10.100.11.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=10.100.22.0/24) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: VPN-OUT Port: 500, Nego#: 30, Fail#: 0, Def-Del#: 0 Flag: 0x600829 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Thu Jul 29 2021 14:29:22 -0700: IPSec SA negotiation successfully completed (29 times) Thu Jul 29 2021 12:00:30 -0700: IKE SA negotiation successfully completed (4 times) Wed Jul 28 2021 15:20:58 : IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Wed Jul 28 2021 15:05:13 -0700: IPSec SA negotiation successfully completed (1 times) Wed Jul 28 2021 15:05:13 : Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Wed Jul 28 2021 15:05:13 -0700: External interface's address received. Information updated (1 times) Wed Jul 28 2021 15:05:13 -0700: External interface's zone received. Information updated (1 times) Wed Jul 28 2021 11:17:38 : Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times) Wed Jul 28 2021 09:27:11 -0700: IKE SA negotiation successfully completed (19 times) Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times) Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times) Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times) Direction: inbound, SPI: ae5afc5a, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 828 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 234 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 6388a743, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 828 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 234 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del comando show security ipsec security-associations
muestra la siguiente información:
-
El número de identificación es 2. Utilice este valor con el comando para obtener más información acerca de
show security ipsec security-associations index
esta SA en particular. -
Existe un par SA IPsec que usa el puerto 500, lo que indica que no se implementó ningún recorrido TDR. (El recorrido TDR utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
-
El SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 921/ unlim indica que la duración de la fase 2 expira en 921 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitada. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, aparece U (arriba) o D (abajo).
-
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
El resultado del comando show security ipsec security-associations index 2 detail
muestra la siguiente información:
-
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una discrepancia de ID de proxy es una de las razones más comunes de un error de fase 2. Para las VPN basadas en políticas, el ID de proxy se deriva de la política de seguridad. La dirección local y la dirección remota se derivan de las entradas de la libreta de direcciones, y el servicio se deriva de la aplicación configurada para la directiva. Si se produce un error en la fase 2 debido a una discrepancia de ID de proxy, puede utilizar la directiva para confirmar qué entradas de la libreta de direcciones están configuradas. Verifique que las direcciones coincidan con la información que se envía. Compruebe el servicio para asegurarse de que los puertos coinciden con la información que se envía.
Probar el flujo de tráfico a través de la VPN
Propósito
Compruebe el flujo de tráfico a través de la VPN.
Acción
Utilice el comando del dispositivo Host1 para probar el ping
flujo de tráfico al Host2.
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.300/3.936/8.562/0.720 ms
Significado
Si el ping
comando falla desde Host1, es posible que haya un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y descifrado de los paquetes ESP.
Revisar estadísticas y errores para una asociación de seguridad IPsec
Propósito
Revise errores y contadores de encabezados de autenticación y ESP para una asociación de seguridad IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec statistics index index_number
utilizando el número de índice de la VPN cuyas estadísticas desea ver.
user@SRX1> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
También puede utilizar el comando show security ipsec statistics
para revisar las estadísticas y los errores de todas las SA.
Para borrar todas las estadísticas de IPsec, utilice el comando clear security ipsec statistics
.
Significado
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics
comando varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar si los otros contadores de errores se incrementan.
Migrar VPN basadas en políticas a VPN basadas en rutas
Lea este tema si planea migrar la configuración de VPN basadas en políticas a VPN basadas en rutas mediante la interfaz st0 punto a punto compartida.
Aunque los firewalls de la serie SRX admiten VPN basadas en políticas en firewalls que ejecutan la VPN IPsec mediante el proceso kmd, existen limitaciones asociadas. Aunque la política puede controlar el tráfico que entra en el túnel VPN en términos del protocolo y el número de puerto de una aplicación, IKEv1 no admite la negociación de protocolo o puerto en la negociación de asociación de seguridad (SA). Por lo tanto, el firewall no puede realizar un control granular del tráfico con VPN basadas en políticas. Le recomendamos que migre sus VPN basadas en políticas a VPN basadas en rutas.
Para migrar de VPN basadas en políticas a VPN basadas en rutas, realice los pasos siguientes:
-
Desactive los objetos VPN IPsec que se ejecutan en el dispositivo Junos OS mediante el proceso kmd.
-
Instale el paquete para ejecutar el
junos-ike
servicio VPN IPsec mediante el proceso iked. Consulte Instalar paquete junos-ike. -
Configure los requisitos previos relacionados con la interfaz st0 punto a punto compartida. Consulte Interfaz st0 punto a punto compartida.
-
Active los objetos VPN IPsec previamente desactivados con la interfaz st0 punto a punto compartida.
Le recomendamos que lleve a cabo la migración utilizando sus prácticas recomendadas de migración para minimizar el tiempo de inactividad.
Limitaciones
-
No puede volver al servicio VPN IPsec basado en kmd una vez que migre al proceso iked con una interfaz st0 punto a punto compartida.
-
Las VPN basadas en políticas aplican implícitamente el orden de secuencia en el que se configuran las políticas cuando se realiza una búsqueda de políticas en el tráfico de datos. Pero las VPN basadas en rutas no aplican el orden de secuencia en el que se configuran las VPN, incluso con selectores de tráfico, porque la secuencia se rige por la métrica por selector de tráfico por configuración VPN.
Configuración de ejemplo
Antes de la migración, consideremos que tiene la siguiente configuración para la VPN IPsec basada en políticas que usa el proceso kmd. Tenga en cuenta que la compatibilidad con VPN basadas en políticas solo está disponible con IKEv1. En esta configuración, si la política de seguridad coincide con los criterios, el dispositivo dirige el tráfico al túnel VPN. Consulte VPN IPsec basadas en políticas.
[edit security policies] user@host# show from-zone zone1 to-zone zone2 { policy policy1 { match { source-address 192.168.2.0/24; destination-address 10.0.2.0/24; } then { permit { tunnel { ipsec-vpn vpn1; } } } } } from-zone zone3 to-zone zone4 { policy policy2 { match { source-address 192.168.3.0/24; destination-address 10.0.3.0/24; } then { permit { tunnel { ipsec-vpn vpn2; } } } } }
[edit security ipsec] user@host# show proposal ipsec_prop { protocol esp; authentication-algorithm hmac-sha-256-128; encryption-algorithm aes-256-cbc; lifetime-seconds 2400; } policy ipsec_pol { proposals ipsec_prop; } vpn vpn1 { ike { gateway gw1; ipsec-policy ipsec_pol; } establish-tunnels immediately; } vpn vpn2 { ike { gateway gw2; ipsec-policy ipsec_pol; } establish-tunnels immediately; }
Después de la migración, notará la siguiente configuración. Tenga en cuenta que la compatibilidad con varios selectores de tráfico, puerto y protocolo no está disponible con IKEv1. Debe enlazar los objetos VPN a la misma interfaz st0 para el servicio VPN IPsec que utiliza el proceso iked. Puede configurar dos puertas de enlace IKE diferentes con dos objetos VPN IPsec diferentes enlazados a la misma interfaz st0 con configuración de selectores de tráfico explícitos.
[edit security ipsec] user@host# show proposal ipsec_prop { protocol esp; authentication-algorithm hmac-sha-256-128; encryption-algorithm aes-256-cbc; lifetime-seconds 2400; } policy ipsec_pol { proposals ipsec_prop; } vpn vpn1 { bind-interface st0.0; ike { gateway gw1; ipsec-policy ipsec_pol; } traffic-selector ts1 { local-ip 192.168.2.0/24; remote-ip 10.0.2.0/24; } establish-tunnels immediately; } vpn vpn2 { bind-interface st0.0; ike { gateway gw2; ipsec-policy ipsec_pol; } traffic-selector ts1 { local-ip 192.168.3.0/24; remote-ip 10.0.3.0/24; } establish-tunnels immediately; }
Consulte también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.