EN ESTA PÁGINA
Ejemplo: Configurar una VPN basada en políticas
En este ejemplo, se muestra cómo configurar una VPN IPsec basada en políticas para permitir que los datos se transfieran de forma segura entre dos sitios.
Requisitos
En este ejemplo, se utiliza el siguiente hardware:
-
Cualquier firewall serie SRX
- Actualizado y revalidado mediante el firewall virtual vSRX en junos OS versión 20.4R1.
¿Le interesa obtener experiencia práctica con los temas y operaciones que se tratan en esta guía? Visite la demostración basada en políticas de IPsec en los laboratorios virtuales de Juniper Networks y reserve su espacio de pruebas gratuito hoy mismo. Encontrará el sandbox basado en políticas VPN IPsec en la categoría seguridad.
Antes de empezar, lea Descripción general de IPsec.
Descripción general
En este ejemplo, se configura una VPN basada en políticas en SRX1 y SRX2. Host1 y Host2 usan la VPN para enviar tráfico de manera segura a través de Internet entre ambos hosts.
Figura 1 muestra un ejemplo de una topología VPN basada en políticas.
La negociación del túnel IPsec de ICR se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la asociación de seguridad (SA) de IPsec. En la fase 2, los participantes negocian la SA de IPsec para autenticar el tráfico que fluirá a través del túnel. Así como hay dos fases para la negociación de túnel, hay dos fases para la configuración del túnel.
En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. Luego, configure la fase 1 de ICR, la fase 2 de IPsec, la política de seguridad y los parámetros TCP-MSS. Consulte Tabla 1 a través de Tabla 5.
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Interfaces |
ge-0/0/0.0 |
10.100.11.1/24 |
|
ge-0/0/1.0 |
172.16.13.1/24 |
|
|
Zonas de seguridad |
confianza |
|
|
Untrust |
|
|
|
Rutas estáticas |
0.0.0.0/0 |
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
Estándar |
|
|
Política |
IKE-POL |
|
|
Gateway |
IKE-GW |
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
Estándar |
|
|
Política |
IPSEC-POL |
|
|
VPN |
VPN-to-Host2 |
|
|
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Esta política de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza. |
SALIDA DE VPN |
|
|
Esta política de seguridad permite el tráfico desde la zona de no confianza a la zona de confianza. |
VPN-IN |
|
|
Esta política de seguridad permite todo el tráfico desde la zona de confianza hasta la zona de no confianza. Debe colocar la política VPN-OUT antes de que la política de seguridad predeterminada de permiso. Junos OS realiza una búsqueda de políticas de seguridad a partir de la parte superior de la lista. Si la política de permiso predeterminada viene antes de la política de SALIDA de VPN, todo el tráfico de la zona de confianza coincide con la política predeterminada de permiso y se permite. Por lo tanto, ningún tráfico coincidirá con la política de VPN-OUT. |
permiso predeterminado |
|
|
Propósito |
Parámetros de configuración |
|---|---|
|
TCP-MSS se negocia como parte del protocolo de trabajo de tres vías TCP y limita el tamaño máximo de un segmento TCP para adaptarse mejor a los límites de la unidad máxima de transmisión (MTU) en una red. Esto es especialmente importante para el tráfico VPN, ya que la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de ip y trama, puede hacer que el paquete resultante de carga de seguridad de seguridad de encapsulación (ESP) supere la MTU de la interfaz física, lo que provoca la fragmentación. La fragmentación da como resultado un mayor uso del ancho de banda y los recursos del dispositivo. Recomendamos un valor de 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con diferentes valores TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que deba cambiar el valor si algún dispositivo de la ruta tiene una MTU menor o si hay alguna sobrecarga adicional, como PPP o Frame Relay. |
Valor de MSS: 1350 |
Configuración
- Configuración de información básica de red y zona de seguridad
- Configuración de ICR
- Configuración de IPsec
- Configuración de políticas de seguridad
- Configuración de TCP-MSS
- Configuración de SRX2
Configuración de información básica de red y zona de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar la información de interfaz, ruta estática e zona de seguridad:
-
Configure las interfaces.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32
-
Configure las rutas estáticas.
[edit] user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
Asigne la interfaz orientada a Internet a la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Asigne la interfaz frontal Host1 a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-optionsy show security zones para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
Configuración de ICR
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar ICR:
-
Cree la propuesta de ICR.
[edit security ike] user@SRX1# set proposal standard
-
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
Cree la política de ICR.
[edit security ike] user@SRX1# set policy IKE-POL
-
Establezca el modo de política de ICR.
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
Especifique una referencia a la propuesta de ICR.
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
Defina el método de autenticación de política de ICR.
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
Cree la puerta de enlace de ICR y defina su interfaz externa.
[edit security ike gateway IKE-GW] user@SRX1# set external-interface ge-0/0/1.0
-
Defina la dirección de puerta de enlace de ICR.
[edit security ike gateway IKE-GW] user@SRX1# address 172.16.23.1
-
Defina la referencia de política de ICR.
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
Configuración de IPsec
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar IPsec:
-
Cree la propuesta de IPsec.
[edit] user@SRX1# set security ipsec proposal standard
-
Cree la política IPsec.
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
Especifique la referencia de propuesta IPsec.
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
Especifique la puerta de enlace de ICR.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
Especifique la política IPsec.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
Configure el túnel para que se establezca de inmediato.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 establish-tunnels immediately
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@SRX1# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
Configuración de políticas de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone untrust set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar políticas de seguridad:
-
Cree entradas de libreta de direcciones para las redes que se usarán en las políticas de seguridad.
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone untrust
-
Cree la política de seguridad para que coincida con el tráfico del Host1 en la zona de confianza al Host2 en la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2
-
Cree la política de seguridad para permitir todo el resto del tráfico a Internet desde la zona de confianza hasta la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
Cree una política de seguridad para permitir el tráfico de Host2 en la zona de no confianza a Host1 en la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@SRX1# set policy VPN-IN match source-address Host2-Net user@SRX1# set policy VPN-IN match destination-address Host1-Net user@SRX1# set policy VPN-IN match application any user@SRX1# set policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@SRX1# show security policies
from-zone trust to-zone untrust {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
}
Configuración de TCP-MSS
Configuración rápida de CLI
Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimiento paso a paso
Para configurar la información de TCP-MSS:
-
Configure la información de TCP-MSS.
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de SRX2
Configuración rápida de CLI
Como referencia, se proporciona la configuración de SRX2.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone untrust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el estado de ICR
- Verificar el estado de fase 2 de IPsec
- Probar el flujo de tráfico a través de la VPN
- Revisión de estadísticas y errores para una asociación de seguridad IPsec
Verificar el estado de ICR
Propósito
Verifique el estado de ICR.
Acción
Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1859361 UP 9788fa59c3ee2e2a 0b17e52f34b83aba Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859361 detail
IKE peer 172.16.23.1, Index 1859361, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: 9788fa59c3ee2e2a, Responder cookie: 0b17e52f34b83aba
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 17567 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1740
Output bytes : 1132
Input packets: 15
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 4 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
Significado
El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA) de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
-
Índice: este valor es único para cada SA IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información sobre la SA. -
Dirección remota: compruebe que la dirección IP remota sea correcta.
-
Estado
-
UP: se estableció la SA de fase 1.
-
ABAJO: hubo un problema al establecer la SA de fase 1.
-
-
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)
-
Parámetros de política de ICR
-
Información de claves previamente compartidas
-
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations index 1859361 detail comando enumera información adicional acerca de la asociación de seguridad con un número de índice de 1859361:
-
Algoritmos de autenticación y cifrado utilizados
-
Vida útil de la fase 1
-
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
-
Información de rol de iniciador y de respuesta
La solución de problemas se realiza mejor en el par que usa la función de responder.
-
Número de SA de IPsec creadas
-
Número de negociaciones de fase 2 en curso
Verificar el estado de fase 2 de IPsec
Propósito
Verifique el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.
user@SRX1 show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/sha1 ae5afc5a 921/ unlim - root 500 172.16.23.1 >2 ESP:3des/sha1 6388a743 921/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 2 detail
ID: 2 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=10.100.11.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=10.100.22.0/24)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: VPN-OUT
Port: 500, Nego#: 30, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Thu Jul 29 2021 14:29:22 -0700: IPSec SA negotiation successfully completed (29 times)
Thu Jul 29 2021 12:00:30 -0700: IKE SA negotiation successfully completed (4 times)
Wed Jul 28 2021 15:20:58
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Jul 28 2021 15:05:13 -0700: IPSec SA negotiation successfully completed (1 times)
Wed Jul 28 2021 15:05:13
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's address received. Information updated (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's zone received. Information updated (1 times)
Wed Jul 28 2021 11:17:38
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Jul 28 2021 09:27:11 -0700: IKE SA negotiation successfully completed (19 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: ae5afc5a, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 6388a743, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
-
El número de identificación es 2. Use este valor con el
show security ipsec security-associations indexcomando para obtener más información sobre esta SA en particular. -
Hay un par DE SA IPsec que usa el puerto 500, lo que indica que no se implementa ningún recorrido TDR. (El recorrido TDR usa el puerto 4500 u otro puerto aleatorio de número alto.)
-
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 921/ unlim indica que la vida útil de la fase 2 caduca en 921 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, se enumera U (arriba) o D (abajo).
-
El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.
El resultado del show security ipsec security-associations index 2 detail comando enumera la siguiente información:
-
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una discordancia de ID de proxy es una de las razones más comunes de una falla de fase 2. Para VPN basadas en políticas, el ID de proxy se deriva de la política de seguridad. La dirección local y la dirección remota se derivan de las entradas de la libreta de direcciones y el servicio se deriva de la aplicación configurada para la política. Si la fase 2 falla debido a una discordancia de ID de proxy, puede usar la política para confirmar qué entradas de la libreta de direcciones están configuradas. Compruebe que las direcciones coincidan con la información que se envía. Compruebe el servicio para asegurarse de que los puertos coincidan con la información que se envía.
Probar el flujo de tráfico a través de la VPN
Propósito
Verifique el flujo de tráfico a través de la VPN.
Acción
Utilice el ping comando desde el dispositivo Host1 para probar el flujo de tráfico a Host2.
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.300/3.936/8.562/0.720 ms
Significado
Si el ping comando falla desde Host1, podría haber un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y descifrado de paquetes ESP.
Revisión de estadísticas y errores para una asociación de seguridad IPsec
Propósito
Revise los contadores de encabezados y errores esp y de autenticación para una asociación de seguridad IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec statistics index index_number comando, usando el número de índice de la VPN para la que desea ver estadísticas.
user@SRX1> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
También puede usar el show security ipsec statistics comando para revisar estadísticas y errores de todas las SA.
Para borrar todas las estadísticas de IPsec, utilice el clear security ipsec statistics comando.
Significado
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando varias veces para confirmar que los contadores de paquetes cifrados y descifrados se están incrementando. También debe comprobar si los otros contadores de errores se están incrementando.