VPN de detección automática
La VPN de detección automática (ADVPN) establece dinámicamente túneles VPN entre los radios para evitar enrutar el tráfico a través del concentrador.
Descripción de la VPN de detección automática
Auto Discovery VPN (ADVPN) es una tecnología que permite al concentrador central informar dinámicamente a los radios sobre una mejor ruta para el tráfico entre dos radios. Cuando ambos radios reconocen la información del Hub, establecen un túnel de acceso directo y cambian la topología de enrutamiento para que el host llegue al otro lado sin enviar tráfico a través del Hub.
- Protocolo ADVPN
- Establecer un acceso directo
- Roles de iniciador y respondedor de acceso directo
- Atributos de acceso directo
- Terminación de acceso directo
- Limitaciones de configuración de ADVPN
Protocolo ADVPN
ADVPN utilizauna extensión del protocolo IKEv2 para intercambiar mensajes entre dos pares, lo que permite que los radios establezcan un túnel de acceso directo entre sí. Los dispositivos que admiten la extensión ADVPN envían una notificación en la carga de notificación de IKEv2, incluida su información de capacidad y el número de versión de ADVPN, durante el intercambio inicial de IKE.ADVPN_SUPPORTED
Un dispositivo compatible con ADVPN puede actuar como un sugeridor de acceso directo o como un compañero de acceso directo, pero no ambos.
Establecer un acceso directo
Una puerta de enlace VPN IPsec puede actuar como un sugestor de acceso directo cuando observa que el tráfico sale de un túnel con uno de sus pares y entra en un túnel con otro par. muestra el tráfico del Spoke 1 al Spoke 3 que pasa por el Hub.Figura 1
Cuando ADVPN está configurado en los dispositivos, la información de la capacidad de acceso directo de ADVPN se intercambia entre el concentrador y los radios. Siempre y cuando los radios 1 y 3 hayan anunciado previamente la capacidad de socio de acceso directo de ADVPN a la H ub, la Hub puede sugerir que los radios 1 y 3 establezcan un acceso directo entre sí.
El sugerente de acceso directo utiliza sus SA IKEv2 ya establecidas con los pares para iniciar un intercambio de accesos directos con uno de los dos pares. Si el interlocutor acepta el intercambio de acceso directo, el sugerente de acceso directo comienza un intercambio de accesos directos con el otro par. El intercambio de accesos directos incluye información que permite a los pares (denominados socios de acceso directo) establecer SA de IKE e IPsec entre sí. La creación del acceso directo entre los socios de acceso directo comienza solo después de que ambos pares acepten el intercambio de acceso directo.
muestra el tráfico que pasa a través de un acceso directo entre los radios 1 y 3. El tráfico de Spoke 1 a Spoke 3 no necesita atravesar el Hub.Figura 2
Roles de iniciador y respondedor de acceso directo
El sugerente de acceso directo elige a uno de los socios de acceso directo para que actúe como iniciador del acceso directo; El otro socio actúa como respondedor. Si uno de los socios está detrás de un dispositivo NAT, entonces el socio detrás del dispositivo NAT se elige como iniciador. Si ninguno de los socios está detrás de un dispositivo NAT, el sugerente elige aleatoriamente a uno de los socios como iniciador; El otro socio actúa como respondedor. Si ambos socios están detrás de dispositivos NAT, no se puede crear un acceso directo entre ellos; El sugerente no envía un intercambio de acceso directo a ninguno de los pares.
El sugerente de acceso directo comienza el intercambio de accesos directos con el respondedor primero. Si el respondedor acepta la sugerencia de acceso directo, notificará al iniciador.
Mediante el uso de la información contenida en la notificación del sugerente de acceso directo, el iniciador del acceso directo establece un intercambio IKEv2 con el respondedor y se establece una nueva SA de IPsec entre los dos socios. En cada socio, la ruta a la red detrás de su socio ahora apunta al acceso directo en lugar del túnel entre el socio y el sugerente. El tráfico que se origina detrás de uno de los socios que está destinado a una red detrás del otro socio de acceso directo fluye a través del acceso directo.
Si los socios rechazan la sugerencia de acceso directo, los socios notifican al sugerente el motivo del rechazo. En este caso, el tráfico entre los socios continúa fluyendo a través del sugerente de acceso directo.
Atributos de acceso directo
El acceso directo recibe algunos de sus atributos del sugerente de acceso directo, mientras que otros atributos se heredan de la configuración del túnel VPN sugerente-socio. muestra los parámetros del acceso directo.Tabla 1
Atributos |
Recibido/heredado de |
---|---|
ADVPN |
Configuración |
Antirreproducción |
Configuración |
Algoritmo de autenticación |
Configuración |
Detección de pares muertos |
Configuración |
Bit DF |
Configuración |
Algoritmo de cifrado |
Configuración |
Establecer túneles |
Sugeridor |
Interfaz externa |
Configuración |
Política de puerta de enlace |
Configuración |
General IKE ID |
Configuración |
Versión de IKE |
Configuración |
Intervalo de instalación |
Configuración |
Dirección local |
Configuración |
Identidad local |
Sugeridor |
Recorrido NAT |
Configuración |
Confidencialidad directa perfecta |
Configuración |
Protocolo |
Configuración |
Proxy ID |
No aplica |
Dirección remota |
Sugeridor |
Identidad remota |
Sugeridor |
Responder mal SPI |
Configuración |
Selector de tráfico |
No aplica |
Terminación de acceso directo
De forma predeterminada, el acceso directo dura indefinidamente. Los socios de acceso directo terminan el acceso directo si el tráfico cae por debajo de una velocidad especificada durante un tiempo especificado. De forma predeterminada, el acceso directo finaliza si el tráfico cae por debajo de 5 paquetes por segundo durante 300 segundos; los valores de tiempo de inactividad y umbral de inactividad son configurables para los socios. El acceso directo se puede eliminar manualmente en cualquier socio de acceso directo con los comandos o para borrar la SA IKE o IPsec correspondiente.clear security ike security-association
clear security ipsec security-association
Cualquiera de los socios de acceso directo puede terminar el acceso directo en cualquier momento enviando una carga de eliminación de IKEv2 al otro socio de acceso directo.
Cuando finaliza el acceso directo, se eliminan la SA de IKE correspondiente y todas las SA IPsec secundarias. Una vez finalizado el acceso directo, la ruta correspondiente se elimina en ambos socios de acceso directo y el tráfico entre los dos pares vuelve a fluir a través del sugerente. La información de terminación del acceso directo se envía de un socio al sugerente.
La duración de un acceso directo es independiente del túnel entre el sugerente de acceso directo y el compañero de acceso directo. El acceso directo no termina simplemente porque el túnel entre el sugerente y el socio haya terminado.
Limitaciones de configuración de ADVPN
Tenga en cuenta las siguientes limitaciones al configurar ADVPN:
-
ADVPN solo se admite para comunicaciones de sitio a sitio. La configuración de un sugerente de ADVPN solo está permitida en concentradores AutoVPN.
-
No puede configurar los roles de sugerente y socio. Cuando ADVPN está habilitado en una puerta de enlace, no puede deshabilitar los roles de sugerente y socio en la puerta de enlace.
-
Como se mencionó anteriormente, no puede crear un acceso directo entre socios que estén detrás de dispositivos NAT. El sugerente puede iniciar un intercambio de accesos directos si solo uno de los socios está detrás de un dispositivo NAT o si ningún socio está detrás de los dispositivos NAT.
-
No se admite el tráfico de multidifusión.
-
A partir de Junos OS versión 19.2R1, en SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX Virtual Firewall 2.0 (con 2 vCPU) y vSRX Virtual Firewall 3.0 (con 2 vCPU), la multidifusión independiente de protocolo (PIM) que usa el modo punto a multipunto (P2MP) admite la VPN de detección automática en la que se introduce un nuevo tipo de interfaz para PIM.
p2mp
La interfaz realiza un seguimiento de todas las uniones PIM por vecino para garantizar que el reenvío o la replicación de multidifusión solo ocurran a aquellos vecinos que están en estado unido.p2mp
-
-
A partir de Junos OS versión 18.1R1, ADVPN admite IPv6 con el firewall ejecutando el servicio VPN IPsec mediante el proceso kmd.
-
Para los cambios de configuración en el socio, como habilitar, deshabilitar o cambiar de rol, el iked:
Desmonta y renegocia la SA de IKE estática y la SA de IPsec para intercambiar la nueva capacidad.
Limpia el acceso directo IKE SA y la SA IPsec, así como la información de sugerencias existente.
-
Para cambios de configuración que no sean ADVPN, como:
El cambio en la configuración del túnel estático que lleva a la eliminación de la SA de IKE estática y la SA IPsec, el iked desactiva el acceso directo IKE SA y la SA IPsec. El iked limpia la información de sugerencia. El túnel de acceso directo no se renegocia de nuevo, hasta que recibe una sugerencia de acceso directo del sugerente.
El cambio de configuración del túnel estático que conduce a la eliminación de la SA IPsec del túnel estático solamente, el iked desactiva el acceso directo IKE SA y la SA IPsec. El iked limpia la información de sugerencia. El túnel de acceso directo no se renegocia de nuevo, hasta que recibe una sugerencia de acceso directo del sugerente.
Las siguientes configuraciones no son compatibles con ADVPN con procesos kmd e iked:
-
IKEv1
-
VPN basada en políticas
-
Carga de configuración de IKEv2
-
Selectores de tráfico
-
Interfaces de túnel seguras punto a punto
-
Clave precompartida inicializada
-
Clave precompartida compartida: no es compatible con el proceso de KMD
-
IPv6: no hay soporte con el proceso iked
Descripción del enrutamiento de tráfico con túneles de acceso directo
Las aletas del túnel o los cambios catastróficos pueden hacer que tanto los túneles estáticos como los túneles de acceso directo caigan. Cuando esto sucede, el tráfico a un destino específico puede enrutarse a través de un túnel de acceso directo inesperado en lugar de a través de un túnel estático esperado.
En Figura 3, existen túneles estáticos entre el hub y cada uno de los radios. Las adyacencias de OSPF se establecen entre el hub y los radios. El radio-A también tiene un túnel de acceso directo con el radio-B y se establecen adyacencias OSPF entre los radios. El concentrador (el sugerente de acceso directo) reconoce que si la conectividad entre el concentrador y el radios A deja de funcionar, se puede acceder a la red del radio-A a través del túnel de acceso directo entre el radio B y el radio A.
En , el túnel estático entre el hub y el radio-A está inactivo.Figura 4 Si hay tráfico nuevo del radio-C al radio-A, el radio-C reenvía el tráfico al concentrador porque no tiene un túnel de acceso directo con el radio-A. El concentrador no tiene un túnel estático activo con el radio-A, pero reconoce que hay un túnel de acceso directo entre el radio-A y el radio-B, por lo que reenvía el tráfico del radio-C al radio-bocado B.
Siempre y cuando tanto los radios B como los radiales C admitan la capacidad de socio de VPN de detección automática (ADVPN), el hub puede sugerir que los radios establezcan un acceso directo entre sí. Esto ocurre aunque no haya tráfico directo entre los dos radios. El tráfico del radio-C al radio-A viaja a través del túnel de acceso directo entre los radios C y B, y luego a través del túnel de acceso directo entre los radios B y A (véase ).Figura 5
Cuando se restablece el túnel estático entre el hub y el radio A, el túnel se anuncia a todos los radios. Spoke C aprende que hay una mejor ruta para llegar a Spoke A; en lugar de pasar tráfico a través del radio-B, reenvía el tráfico del radio-A al concentrador. El hub sugiere que se establezca un túnel de acceso directo entre los radios C y A. Cuando el túnel de acceso directo se establece entre los radios C y A, el tráfico fluye a través del túnel de acceso directo (consulte ).Figura 6 El tráfico entre los radios C y A ya no circula por el radio, y el túnel de acceso directo entre el radios B y el radios C desaparece finalmente.
Puede utilizar la opción en el nivel de jerarquía [] para establecer el número máximo de túneles de acceso directo que se pueden crear con diferentes socios de acceso directo mediante una puerta de enlace determinada.connection-limit
edit security ike gateway gateway-name advpn partner
El número máximo, que también es el predeterminado, depende de la plataforma.
Consulte también
Ejemplo: Mejora de la utilización de recursos de red con túneles dinámicos VPN de detección automática
Si va a implementar una red AutoVPN, es posible que pueda aumentar el uso de recursos de red configurando la VPN de detección automática (ADVPN). En las redes AutoVPN, el tráfico VPN fluye a través del hub incluso cuando el tráfico viaja de un radio a otro. ADVPN permite que los túneles VPN se establezcan dinámicamente entre los radios, lo que puede resultar en una mejor utilización de los recursos de red. Utilice este ejemplo para configurar ADVPN de modo que habilite túneles VPN radiales dinámicos en su red AutoVPN.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Tres firewalls compatibles de la serie SRX como concentrador y radios AutoVPN.
Junos OS versión 12.3X48-D10 o versiones posteriores compatibles con ADVPN.
Certificados digitales inscritos en el hub and spoke que permiten que los dispositivos se autentiquen entre sí.
Antes de empezar:
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales. Consulte Descripción de las solicitudes de certificados locales.
Inscribir los certificados digitales en cada dispositivo. Consulte Ejemplo: Cargar certificados locales y de CA manualmente.
En este ejemplo se utiliza el protocolo de enrutamiento dinámico OSPF, así como configuraciones de rutas estáticas para reenviar paquetes a través de túneles VPN. Debe estar familiarizado con el protocolo de enrutamiento dinámico OSPF que se utiliza para reenviar paquetes a través de los túneles VPN.
Descripción general
En este ejemplo se muestran las configuraciones de un concentrador AutoVPN y dos radios para ADVPN. Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a los recursos del concentrador. Mientras que el tráfico se pasa inicialmente de un radio al otro a través del concentrador, ADVPN permite que los radios establezcan una asociación de seguridad directa entre ellos. El hub actúa como el sugerente de acceso directo. En el concentrador, la configuración de ADVPN deshabilita el rol.partner
En los radios, la configuración de ADVPN deshabilita el rol.suggester
Algunas opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador y los radios AutoVPN deben tener los mismos valores. muestra los valores utilizados en este ejemplo.Tabla 2
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
rsa-signatures |
Grupo Diffie-Hellman (DH) |
group5 |
Algoritmo de autenticación |
sha1 |
Algoritmo de cifrado |
aes-256-cbc |
Política de IKE: |
|
Certificado |
certificado local |
Puerta de enlace IKE: |
|
Versión |
Solo v2 |
Propuesta IPsec: |
|
Protocolo |
esp |
Algoritmo de autenticación |
HMAC-SHA1-96 |
Algoritmo de cifrado |
aes-256-cbc |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
grupo5 |
La configuración de puerta de enlace de IKE en el concentrador y los radios incluye valores remotos y locales que identifican a los pares VPN. muestra la configuración de puerta de enlace IKE para el concentrador y los radios en este ejemplo.Tabla 3
La opción |
Hub |
Radios |
---|---|---|
Dirección IP remota |
Dinámica |
Habló 1: 11.1.1.1 Habló 2: 11.1.1.1 |
Dirección IP local |
11.1.1.1 |
Habló 1: 21.1.1.2 Habló 2: 31.1.1.2 |
ID de IKE remoto |
Nombre distinguido (DN) con la cadena "XYZ" en el campo de la organización (O) y "Ventas" en el campo de la unidad organizativa (OU) en los certificados de los radios |
DN con la cadena "Ventas" en el campo OU del certificado del hub |
Local IKE ID |
DN en el certificado del hub |
DN en el certificado de los radios |
El hub autentica el ID de IKE de los radios si los campos de asunto de los certificados de los radios contienen la cadena "XYZ" en el campo O y "Ventas" en el campo OU.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.Security Policies Overview
Topología
Figura 7 muestra los firewalls de la serie SRX que se van a configurar para este ejemplo.
Configuración
- Configuración del sugerente (Hub)
- Configuración del socio (radio 1)
- Configuración del socio (Spoke 2)
Configuración del sugerente (Hub)
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-0/0/4 gigether-options redundant-parent reth1 set interfaces ge-7/0/3 gigether-options redundant-parent reth0 set interfaces ge-7/0/4 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 10.1.1.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 11.1.1.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.1/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 10 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface reth0.0 set routing-options graceful-restart set routing-options static route 21.1.1.0/24 next-hop 11.1.1.2 set routing-options static route 31.1.1.0/24 next-hop 11.1.1.2 set routing-options router-id 172.16.1.1 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Suggester_Certificate_ID set security ike gateway SUGGESTER_GW ike-policy IKE_POL set security ike gateway SUGGESTER_GW dynamic distinguished-name wildcard O=XYZ, OU=Sales set security ike gateway SUGGESTER_GW dynamic ike-user-type group-ike-id set security ike gateway SUGGESTER_GW dead-peer-detection set security ike gateway SUGGESTER_GW local-identity distinguished-name set security ike gateway SUGGESTER_GW external-interface reth1.0 set security ike gateway SUGGESTER_GW local-address 11.1.1.1 set security ike gateway SUGGESTER_GW advpn partner disable set security ike gateway SUGGESTER_GW advpn suggester set security ike gateway SUGGESTER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn SUGGESTER_VPN bind-interface st0.1 set security ipsec vpn SUGGESTER_VPN ike gateway SUGGESTER_GW set security ipsec vpn SUGGESTER_VPN ike ipsec-policy IPSEC_POL set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el sugerente:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-7/0/3 gigether-options redundant-parent reth0 user@host# set ge-7/0/4 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 10.1.1.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 11.1.1.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.1/24
Configure el protocolo de enrutamiento y las rutas estáticas.
[edit protocols ospf] user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 10 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface reth0.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 21.1.1.0/24 next-hop 11.1.1.2 user@host# set static route 31.1.1.0/24 next-hop 11.1.1.2 user@host# set router-id 172.16.1.1
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Suggester_Certificate_ID [edit security ike gateway SUGGESTER_GW] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard O=XYZ, OU=Sales user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection user@host# set local-identity distinguished-name user@host# set external-interface reth1.0 user@host# set local-address 11.1.1.1 user@host# set advpn partner disable user@host# set advpn suggester user@host# set version v2-only
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn SUGGESTER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway SUGGESTER_GW user@host# set ike ipsec-policy IPSEC_POL
Configure la información del certificado.
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
Configurar zonas.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth1.0
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , , , , y para confirmar la configuración.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security pki
show security zones
show security policies
Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host# show interfaces ge-0/0/3 { gigether-options { redundant-parent reth0; } } ge-0/0/4 { gigether-options { redundant-parent reth1; } } ge-7/0/3 { gigether-options { redundant-parent reth0; } } ge-7/0/4 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.1.1.1/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 11.1.1.1/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.1/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 10; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface reth0.0; } } [edit] user@host# show routing-options graceful-restart; static { route 21.1.1.0/24 next-hop 11.1.1.2; route 31.1.1.0/24 next-hop 11.1.1.2; } router-id 172.16.1.1; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Suggester_Certificate_ID; } } gateway SUGGESTER_GW { ike-policy IKE_POL; dynamic { distinguished-name { wildcard O=XYZ, OU=Sales; } ike-user-type group-ike-id; } dead-peer-detection { } local-identity distinguished-name; external-interface reth1.0 local-address 11.1.1.1; advpn { partner { disable; } suggester { ] } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn SUGGESTER_VPN { bind-interface st0.1; ike { gateway SUGGESTER_GW; ipsec-policy IPSEC_POL; } } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración del socio (radio 1)
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-0/0/4 gigether-options redundant-parent reth1 set interfaces ge-7/0/3 gigether-options redundant-parent reth0 set interfaces ge-7/0/4 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 25.1.1.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 21.1.1.2/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.2/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 15 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface reth0.0 set routing-options graceful-restart set routing-options static route 11.1.1.0/24 next-hop 21.1.1.1 set routing-options static route 31.1.1.0/24 next-hop 21.1.1.1 set routing-options router-id 172.16.1.2 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Partner1_Certificate_ID set security ike gateway PARTNER_GW ike-policy IKE_POL set security ike gateway PARTNER_GW address 11.1.1.1 set security ike gateway PARTNER_GW local-identity distinguished-name set security ike gateway PARTNER_GW remote-identity distinguished-name container OU=Sales set security ike gateway PARTNER_GW external-interface reth1 set security ike gateway PARTNER_GW local-address 21.1.1.2 set security ike gateway PARTNER_GW advpn suggester disable set security ike gateway PARTNER_GW advpn partner set security ike gateway PARTNER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn PARTNER_VPN bind-interface st0.1 set security ipsec vpn PARTNER_VPN ike gateway PARTNER_GW set security ipsec vpn PARTNER_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn PARTNER_VPN establish-tunnels immediately set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el radio 1:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-7/0/3 gigether-options redundant-parent reth0 user@host# set ge-7/0/4 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 25.1.1.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 21.1.1.2/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.2/24
Configure el protocolo de enrutamiento y las rutas estáticas.
[edit protocols ospf] user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 15 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set protocols ospf area 0.0.0.0 interface reth0.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 11.1.1.0/24 next-hop 21.1.1.1 user@host# set static route 31.1.1.0/24 next-hop 21.1.1.1 user@host# set router-id 172.16.1.2
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Partner1_Certificate_ID [edit security ike gateway PARTNER_GW] user@host# set ike-policy IKE_POL user@host# set address 11.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=Sales user@host# set external-interface reth1 user@host# set local-address 21.1.1.2 user@host# set advpn suggester disable user@host# set advpn partner user@host# set version v2-only
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn PARTNER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway PARTNER_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Configure la información del certificado.
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
Configurar zonas.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth1.0
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , , , , y para confirmar la configuración.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security pki
show security zones
show security policies
Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host# show interfaces ge-0/0/3 { gigether-options { redundant-parent reth0; } } ge-0/0/4 { gigether-options { redundant-parent reth1; } } ge-7/0/3 { gigether-options { redundant-parent reth0; } } ge-7/0/4 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 25.1.1.1/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 21.1.1.2/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.2/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 15; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface reth0.0; } } [edit] user@host# show routing-options graceful-restart; static { route 11.1.1.0/24 next-hop 21.1.1.1; route 31.1.1.0/24 next-hop 21.1.1.1; } router-id 172.16.1.2; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Partner1_Certificate_ID; } } gateway PARTNER_GW { ike-policy IKE_POL; address 11.1.1.1; local-identity distinguished-name; remote-identity distinguished-name container OU=Sales; external-interface reth1; local-address 21.1.1.2; advpn { suggester { disable; } partner { } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn PARTNER_VPN { bind-interface st0.1; ike { gateway PARTNER_GW; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración del socio (Spoke 2)
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set interfaces ge-0/0/2 unit 0 family inet address 31.1.1.2/24 set interfaces ge-0/0/4 unit 0 family inet address 36.1.1.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.3/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 15 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface ge-0/0/4.0 set routing-options graceful-restart set routing-options static route 11.1.1.0/24 next-hop 31.1.1.1 set routing-options static route 21.1.1.0/24 next-hop 31.1.1.1 set routing-options router-id 172.16.1.3 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Partner2_Certificate_ID set security ike gateway PARTNER_GW ike-policy IKE_POL set security ike gateway PARTNER_GW address 11.1.1.1 set security ike gateway PARTNER_GW dead-peer-detection set security ike gateway PARTNER_GW local-identity distinguished-name set security ike gateway PARTNER_GW remote-identity distinguished-name container OU=Sales set security ike gateway PARTNER_GW external-interface ge-0/0/2.0 set security ike gateway PARTNER_GW local-address 31.1.1.2 set security ike gateway PARTNER_GW advpn suggester disable set security ike gateway PARTNER_GW advpn partner set security ike gateway PARTNER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn PARTNER_VPN bind-interface st0.1 set security ipsec vpn PARTNER_VPN ike gateway PARTNER_GW set security ipsec vpn PARTNER_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn PARTNER_VPN establish-tunnels immediately set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/4.0 set security zones security-zone trust interfaces st0.1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/2.0 set security policies default-policy permit-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el radio 2:
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/2 unit 0 family inet address 31.1.1.2/24 user@host# set ge-0/0/4 unit 0 family inet address 36.1.1.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.3/24
Configure el protocolo de enrutamiento y las rutas estáticas.
[edit protocols ospf user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 15 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/4.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 11.1.1.0/24 next-hop 31.1.1.1 user@host# set static route 21.1.1.0/24 next-hop 31.1.1.1 user@host# set router-id 172.16.1.3
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Partner2_Certificate_ID [edit security ike gateway PARTNER_GW] user@host# set ike-policy IKE_POL user@host# set address 11.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=Sales user@host# set external-interface ge-0/0/2.0 user@host# set local-address 31.1.1.2 user@host# set advpn suggester disable user@host# set advpn partner user@host# set version v2-only
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn PARTNER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway PARTNER_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Configure la información del certificado.
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
Configurar zonas.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/4.0 user@host# set interfaces st0.1 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/2.0
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, escriba los comandos , , , , y para confirmar la configuración.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security pki
show security zones
show security policies
Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit] user@host# show interfaces ge-0/0/2 { unit 0 { family inet { address 31.1.1.2/24; } } } ge-0/0/4{ unit 0 { family inet { address 36.1.1.1/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.3/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 15; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface ge-0/0/4.0; } } [edit] user@host# show routing-options graceful-restart; static { route 11.1.1.0/24 next-hop 31.1.1.1; route 21.1.1.0/24 next-hop 31.1.1.1; } router-id 172.16.1.3; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Partner2_Certificate_ID } } gateway PARTNER_GW { ike-policy IKE_POL; address 11.1.1.1; local-identity distinguished-name; remote-identity distinguished-name container OU=Sales; external-interface ge-0/0/2.0; local-address 31.1.1.2; advpn { suggester{ disable; } partner { } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn PARTNER_VPN { bind-interface st0.1; ike { gateway PARTNER_GW; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/4.0; st0.1; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente. Primero, verifique que haya túneles establecidos entre el concentrador AutoVPN y los radios. Cuando el tráfico pasa de un radio a otro a través del concentrador, se puede establecer un acceso directo entre los radios. Compruebe que los socios de acceso directo hayan establecido un túnel entre ellos y que haya una ruta al mismo nivel instalada en los socios.
- Verificación de túneles entre el hub y los radios
- Verificación del túnel de acceso directo entre socios
Verificación de túneles entre el hub y los radios
Propósito
Verifique que haya túneles establecidos entre el concentrador AutoVPN y los radios. El tráfico inicial de un radio a otro debe viajar a través del hub.
Acción
Desde el modo operativo, introduzca los comandos y en el concentrador y los radios.show security ike security-associations
show security ipsec security-associations
En el hub se introducen los siguientes comandos:
user@host> show security ike security-associations node1: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 10957048 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 31.1.1.2 10957049 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 21.1.1.2
user@host> show security ike security-associations detail node1: -------------------------------------------------------------------------- IKE peer 31.1.1.2, Index 10957048, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Lifetime: Expires in 28196 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2030 Output bytes : 2023 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 10957049, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Lifetime: Expires in 28219 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2030 Output bytes : 2023 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node1: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <201326593 ESP:aes-cbc-256/sha1 44ccf265 2999/ unlim - root 500 31.1.1.2 >201326593 ESP:aes-cbc-256/sha1 a9d301b0 2999/ unlim - root 500 31.1.1.2 <201326594 ESP:aes-cbc-256/sha1 98a2b155 3022/ unlim - root 500 21.1.1.2 >201326594 ESP:aes-cbc-256/sha1 de912bcd 3022/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail node1: -------------------------------------------------------------------------- ID: 201326593 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2414 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2414 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 201326594 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 3, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 3014 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2436 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 3014 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2436 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 28 destinations, 28 routes (27 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 25.1.1.0/24 *[OSPF/10] 00:00:27, metric 11 > to 172.16.1.2 via st0.1 36.1.1.0/24 *[OSPF/10] 00:00:27, metric 11 > to 172.16.1.3 via st0.1 172.16.1.2/32 *[OSPF/10] 00:00:27, metric 10 > to 172.16.1.2 via st0.1 172.16.1.3/32 *[OSPF/10] 00:00:27, metric 10 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:00:48, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.2 st0.1 Full 172.16.1.2 128 -
En el radio 1 se introducen los siguientes comandos:
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 578872 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 11.1.1.1
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 11.1.1.1, Index 578872, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 28183 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2023 Output bytes : 2030 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 de912bcd 2985/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 98a2b155 2985/ unlim - root 500 11.1.1.1
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2980 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2358 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2980 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2358 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 29 destinations, 29 routes (28 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:11:46, metric 16 > to 172.16.1.1 via st0.1 36.1.1.0/24 *[OSPF/10] 00:11:46, metric 26 > to 172.16.1.1 via st0.1 172.16.1.1/32 *[OSPF/10] 00:11:46, metric 15 > to 172.16.1.1 via st0.1 172.16.1.3/32 *[OSPF/10] 00:11:46, metric 25 > to 172.16.1.1 via st0.1 224.0.0.5/32 *[OSPF/10] 00:16:52, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.1 st0.1 Full 172.16.1.1 128 -
En el radio 2 se introducen los siguientes comandos:
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2299162 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 11.1.1.1
user@host> show security ike security-associations detail IKE peer 11.1.1.1, Index 2299162, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 28135 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2023 Output bytes : 2030 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 a9d301b0 2936/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 44ccf265 2936/ unlim - root 500 11.1.1.1
user@host> show security ipsec security-associations detail ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2933 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2311 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2933 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2311 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 36 destinations, 36 routes (35 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:00:09, metric 16 > to 172.16.1.1 via st0.1 25.1.1.0/24 *[OSPF/10] 00:00:09, metric 26 > to 172.16.1.1 via st0.1 172.16.1.1/32 *[OSPF/10] 00:00:09, metric 15 > to 172.16.1.1 via st0.1 172.16.1.2/32 *[OSPF/10] 00:00:09, metric 25 > to 172.16.1.1 via st0.1 224.0.0.5/32 *[OSPF/10] 00:17:52, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.1 st0.1 Full 172.16.1.1 128 -
Significado
El comando enumera todas las SA de fase 1 de IKE activas.show security ike security-associations
El comando enumera todas las SA de fase 2 de IKE activas.show security ipsec security-associations
El hub muestra dos túneles activos, uno para cada radio. Cada radio muestra un túnel activo hacia el hub.
Si no se enumera ninguna SA para la fase 1 de IKE, se produjo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.
Si no se enumera ninguna SA para la fase 2 de IKE, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.
El comando muestra las entradas de la tabla de enrutamiento que aprendieron del protocolo OSPF.show route protocol ospf
El comando muestra información sobre los vecinos de OSPF.show ospf neighbor
Verificación del túnel de acceso directo entre socios
Propósito
El concentrador AutoVPN puede actuar como un sugestor de acceso directo cuando nota que el tráfico sale de un túnel con uno de sus radios y entra en un túnel con otro radio. Se establece una nueva SA IPsec, o acceso directo, entre los dos socios de acceso directo. En cada socio, la ruta a la red detrás de su socio ahora apunta al túnel de acceso directo en lugar del túnel entre el socio y el sugerente (concentrador).
Acción
Desde el modo operativo, introduzca los comandos , , y en los radios.show security ike security-associations
show security ipsec security-associations
show route protocol ospf
show ospf neighbor
En el hub se introducen los siguientes comandos:
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 10957048 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 31.1.1.2 10957049 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 21.1.1.2
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 31.1.1.2, Index 10957048, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Lifetime: Expires in 27781 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 260 Output bytes : 548 Input packets: 3 Output packets: 3 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 10957049, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Lifetime: Expires in 27804 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 244 Output bytes : 548 Input packets: 3 Output packets: 3 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- s Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <201326593 ESP:aes-cbc-256/sha1 44ccf265 2584/ unlim - root 500 31.1.1.2 >201326593 ESP:aes-cbc-256/sha1 a9d301b0 2584/ unlim - root 500 31.1.1.2 <201326594 ESP:aes-cbc-256/sha1 98a2b155 2607/ unlim - root 500 21.1.1.2 >201326594 ESP:aes-cbc-256/sha1 de912bcd 2607/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 201326593 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 13:09:48 -0800: Bind-interface's address received. Information updated (1 times) Tue Jan 13 2015 13:09:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2578 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2001 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2578 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2001 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 201326594 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 13:09:48 -0800: Bind-interface's address received. Information updated (1 times) Tue Jan 13 2015 13:09:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2601 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2023 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2601 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2023 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 28 destinations, 28 routes (27 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 25.1.1.0/24 *[OSPF/10] 00:04:49, metric 11 > to 172.16.1.2 via st0.1 36.1.1.0/24 *[OSPF/10] 00:04:49, metric 11 > to 172.16.1.3 via st0.1 172.16.1.2/32 *[OSPF/10] 00:04:49, metric 10 > to 172.16.1.2 via st0.1 172.16.1.3/32 *[OSPF/10] 00:04:49, metric 10 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:05:10, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.2 st0.1 Full 172.16.1.2 128 -
En el radio 1 se introducen los siguientes comandos:
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 578872 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 11.1.1.1 578873 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2 31.1.1.2
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 11.1.1.1, Index 578872, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 27906 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2495 Output bytes : 2274 Input packets: 6 Output packets: 7 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created IKE peer 31.1.1.2, Index 578873, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Shortcut, Local Capability: Partner, Peer Capability: Partner Role: Initiator, State: UP Initiator cookie: 895e4d9c7c5da7a4, Responder cookie: 17de7f18b45139b4 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 31.1.1.2:500 Lifetime: Expires in 28787 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 1855 Output bytes : 1990 Input packets: 2 Output packets: 2 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 de912bcd 2709/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 98a2b155 2709/ unlim - root 500 11.1.1.1 <67108868 ESP:aes-cbc-256/sha1 75d0177b 3590/ unlim - root 500 31.1.1.2 >67108868 ESP:aes-cbc-256/sha1 e4919d73 3590/ unlim - root 500 31.1.1.2
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2701 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2079 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2701 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2079 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 67108868 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Auto Discovery VPN: Type: Shortcut, Shortcut Role: Initiator Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x40608a29 Tunnel events: Tue Jan 13 2015 13:12:52 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 13:12:52 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 13:12:52 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 75d0177b, AUX-SPI: 0 Hard lifetime: Expires in 3582 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2959 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: e4919d73, AUX-SPI: 0 Hard lifetime: Expires in 3582 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2959 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 29 destinations, 29 routes (28 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:03:29, metric 16 > to 172.16.1.1 via st0.1 36.1.1.0/24 *[OSPF/10] 00:00:35, metric 16 > to 172.16.1.3 via st0.1 172.16.1.1/32 *[OSPF/10] 00:03:29, metric 15 > to 172.16.1.1 via st0.1 172.16.1.3/32 *[OSPF/10] 00:00:35, metric 15 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:20:22, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.1 st0.1 Full 172.16.1.1 128
En el radio 2 se introducen los siguientes comandos:
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2299162 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 11.1.1.1 2299163 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2 21.1.1.2
user@host> show security ike security-associations detail IKE peer 11.1.1.1, Index 2299162, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 27835 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2571 Output bytes : 2290 Input packets: 7 Output packets: 7 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 2299163, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Shortcut, Local Capability: Partner, Peer Capability: Partner Role: Responder, State: UP Initiator cookie: 895e4d9c7c5da7a4, Responder cookie: 17de7f18b45139b4 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 21.1.1.2:500 Lifetime: Expires in 28739 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2066 Output bytes : 1931 Input packets: 3 Output packets: 3 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 31.1.1.2:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 a9d301b0 2638/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 44ccf265 2638/ unlim - root 500 11.1.1.1 <67108868 ESP:aes-cbc-256/sha1 e4919d73 3542/ unlim - root 500 21.1.1.2 >67108868 ESP:aes-cbc-256/sha1 75d0177b 3542/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2632 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2010 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2632 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2010 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 67108868 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Auto Discovery VPN: Type: Shortcut, Shortcut Role: Responder Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x40608aa9 Tunnel events: Tue Jan 13 2015 13:12:52 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 13:12:52 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 13:12:52 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: e4919d73, AUX-SPI: 0 Hard lifetime: Expires in 3536 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2958 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 75d0177b, AUX-SPI: 0 Hard lifetime: Expires in 3536 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2958 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 36 destinations, 36 routes (35 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:03:55, metric 16 > to 172.16.1.1 via st0.1 25.1.1.0/24 *[OSPF/10] 00:01:02, metric 16 > to 172.16.1.2 via st0.1 172.16.1.1/32 *[OSPF/10] 00:03:55, metric 15 > to 172.16.1.1 via st0.1 172.16.1.2/32 *[OSPF/10] 00:01:02, metric 15 > to 172.16.1.2 via st0.1 224.0.0.5/32 *[OSPF/10] 00:21:38, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.2 st0.1 Full 172.16.1.2 128 - 172.16.1.1 st0.1 Full 172.16.1.1 128 -
Significado
El comando enumera todas las SA de fase 1 de IKE activas.show security ike security-associations
El comando enumera todas las SA de fase 2 de IKE activas.show security ipsec security-associations
El hub todavía muestra dos túneles activos, uno a cada radio. Cada radio muestra dos túneles activos, uno al hub y otro a su compañero de acceso directo.
El comando muestra la adición de rutas al socio y al concentrador.show route protocol ospf
Ejemplo: Configuración de ADVPN con OSPFv3 para tráfico IPv6
En este ejemplo se muestra cómo configurar un concentrador ADVPN y dos radios para crear un túnel de acceso directo y cambiar la topología de enrutamiento para que el host llegue al otro lado sin enviar tráfico a través del concentrador. En este ejemplo se configura ADVPN para un entorno IPv6 mediante OSPFv3 para reenviar paquetes a través de los túneles VPN.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Tres firewalls compatibles de la serie SRX como concentrador y radios ADVPN
-
Junos OS versión 18.1R1 y versiones posteriores.
Antes de empezar:
-
Obtenga la dirección de la entidad de certificación (CA) y la información que necesitan (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.
Descripción general
En este ejemplo se muestra la configuración de un concentrador ADVPN y las configuraciones posteriores de dos radios.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo OU.
Los radios establecen conexiones VPN IPsec con el concentrador, lo que les permite comunicarse entre sí, así como acceder a recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador ADVPN y todos los radios deben tener los mismos valores. Tabla 4 muestra las opciones utilizadas en este ejemplo.
La opción |
valor |
---|---|
Propuesta de IKE: |
|
Método de autenticación |
Certificados digitales RSA |
Grupo Diffie-Hellman (DH) |
19 |
Algoritmo de autenticación |
SHA-384 |
Algoritmo de cifrado |
AES 256 CBC |
Política de IKE: |
|
Modo |
Principal |
Propuesta IPsec: |
|
Protocolo |
ESP |
Segundos de por vida |
3000 |
Algoritmo de cifrado |
AES 256 GCM |
Directiva IPsec: |
|
Grupo Perfect Forward Secrecy (PFS) |
19 |
La misma autoridad de certificación (CA) está configurada en todos los dispositivos.
Tabla 5 muestra las opciones configuradas en el hub y en todos los radios.
La opción |
Hub |
Todos los radios |
---|---|---|
Puerta de enlace IKE: |
||
Dirección IP remota |
Dinámica |
2001:db8:2000::1 |
ID de IKE remoto |
Nombre distintivo (DN) en el certificado del radio con la cadena en el campo Unidad organizativa (OU) |
DN en el certificado del hub |
Local IKE ID |
DN en el certificado del hub |
DN en el certificado del radio |
Interfaz externa |
reth1 |
Habló 1: ge-0/0/0.0 Habló 2: ge-0/0/0.0 |
VPN: |
||
Interfaz de enlace |
st0.1 |
st0.1 |
Establecer túneles |
(no configurado) |
establecer túneles inmediatamente |
Tabla 6 muestra las opciones de configuración que son diferentes en cada radio.
La opción |
Habló 1 |
Habló 2 |
---|---|---|
Interfaz st0.1 |
2001:db8:9000::2/64 |
2001:db8:9000::3/64 |
Interfaz con la red interna |
(ge-0/0/1.0) 2001:db8:4000::1/64 |
(ge-0/0/1.0) 2001:db8:6000::1/64 |
Interfaz a Internet |
(ge-0/0/0.0) 2001:db8:3000::2/64 |
(ge-0/0/0.0) 2001:db8:5000::2/64 |
La información de enrutamiento para todos los dispositivos se intercambia a través de los túneles VPN.
En este ejemplo, la directiva de seguridad predeterminada que permite todo el tráfico se usa para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para los entornos de producción. Consulte Descripción general de las políticas de seguridad.Security Policies Overview
Topología
Figura 8 muestra los firewalls de la serie SRX que se configurarán para ADVPN en este ejemplo.
Configuración
Para configurar ADVPN, realice estas tareas:
En la primera sección se describe cómo obtener certificados locales y de CA en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos radiales.
- Inscribir certificados de dispositivo con SCEP
- Configuración del concentrador
- Configuración de Spoke 1
- Configuración de Spoke 2
Inscribir certificados de dispositivo con SCEP
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en el hub:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba en el símbolo del sistema para cargar el certificado de CA.yes
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 1:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba en el símbolo del sistema para cargar el certificado de CA.yes
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es .
SLT
La configuración de IKE en el hub incluye para identificar el radio.ou=SLT
Procedimiento paso a paso
Para inscribir certificados digitales con SCEP en la radio 2:
-
Configure la CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Inscriba el certificado de CA.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Escriba en el símbolo del sistema para cargar el certificado de CA.yes
-
Generar un par de claves.
user@host> request security pki generate-key-pair certificate-id Local1
-
Inscribir el certificado local.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Compruebe el certificado local.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
La unidad organizativa (OU) que se muestra en el campo de asunto es .
SLT
La configuración de IKE en el hub incluye para identificar el radio.ou=SLT
Configuración del concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set chassis cluster reth-count 2 set chassis cluster node 0 set chassis cluster node 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 254 set chassis cluster redundancy-group 1 node 1 priority 1 set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dynamic ike-user-type group-ike-id set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface reth1 set security ike gateway IKE_GWA_1 advpn partner disable set security ike gateway IKE_GWA_1 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces reth0.0 set interfaces ge-0/0/0 gigether-options redundant-parent reth1 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-7/0/0 gigether-options redundant-parent reth1 set interfaces ge-7/0/1 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet set interfaces reth0 unit 0 family inet6 address 2001:db8:1000::1/64 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet set interfaces reth1 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:9000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::0/64 next-hop 2001:db8:2000::2 set routing-options rib inet6.0 static route 2001:db8:5000::0/64 next-hop 2001:db8:2000::2 set protocols ospf3 area 0.0.0.0 interface reth0.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el hub:
-
Configure las interfaces.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth1 user@host# set ge-0/0/1 gigether-options redundant-parent reth0 user@host# set ge-7/0/0 gigether-options redundant-parent reth1 user@host# set ge-7/0/1 gigether-options redundant-parent reth0 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet user@host# set reth0 unit 0 family inet6 address 2001:db8:1000::1/64 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet user@host# set reth1 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:9000::1/64
-
Configure el protocolo de enrutamiento.
[edit protocols ospf3] user@host# set ospf3 area 0.0.0.0 interface reth0.0 user@host# set ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::0/64 next-hop 2001:db8:2000::2 user@host# set rib inet6.0 static route 2001:db8:5000::0/64 next-hop 2001:db8:2000::2
-
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set ike-user-type group-ike-id user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v2-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces reth1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces reth0.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set pki ca-profile ROOT-CA revocation-check disable
-
Configurar clúster de chasis
[edit chassis cluster] set reth-count 2 set node 0 set node 1 set redundancy-group 0 node 0 priority 254 set redundancy-group 0 node 1 priority 1 set redundancy-group 1 node 0 priority 254 set redundancy-group 1 node 1 priority 1
Resultados
Desde el modo de configuración, escriba los comandos , , , , y para confirmar la configuración.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security zones
show security policies
show security pki
show chassis cluster
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { gigether-options { redundant-parent reth1; } } ge-0/0/1 { gigether-options { redundant-parent reth0; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet; family inet6 { address 2001:db8:1000::1/64; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet; family inet6 { address 2001:db8:2000::1/64; } } } st0 { unit 1 { multipoint; family inet6 { address 2001:db8:9000::1/64 { primary; } } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; interface reth0.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:3000::/64 next-hop 2001:db8:2000::2; route 2001:db8:5000::/64 next-hop 2001:db8:2000::2; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate HUB; } } gateway IKE_GWA_1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface reth1; advpn { partner { disable; } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_1 { bind-interface st0.1; ike { gateway IKE_GWA_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { st0.1; reth1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { reth0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 advpn suggester disable set security ike gateway IKE_GW_SPOKE_1 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:9000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::0/64 next-hop 2001:db8:3000::1 set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 1:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:9000::2/64
-
Configure el protocolo de enrutamiento.
[edit protocols ospf3] set area 0.0.0.0 interface ge-0/0/1.0 set area 0.0.0.0 interface st0.1 interface-type p2mp set area 0.0.0.0 interface st0.1 dynamic-neighbors [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1
-
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set advpn suggester disable user@host# set version v2-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Resultados
Desde el modo de configuración, escriba los comandos , , , , y para confirmar la configuración.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security zones
show security policies
show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:3000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:4000::1/64; } } } st0 { unit 1 { multipoint; family inet6 { address 2001:db8:9000::2/64; } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE1; } } gateway IKE_GW_SPOKE_1 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; advpn { suggester { disable; } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_1 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_1; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { st0.1; ge-0/0/0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Configuración de Spoke 2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 advpn suggester disable set security ike gateway IKE_GW_SPOKE_2 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:9000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el radio 2:
-
Configurar interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:9000::3/64
-
Configure el protocolo de enrutamiento.
[edit protocols ospf3] user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1
-
Configure las opciones de la fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set advpn suggester disable user@host# set version v2-only
-
Configure las opciones de la fase 2.
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
-
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0
-
Configure la directiva de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
-
Configure el perfil de CA.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Resultados
Desde el modo de configuración, escriba los comandos , , , , y para confirmar la configuración.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security zones
show security policies
show security pki
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:5000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:6000::1/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:9000::3/64; } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE2; } } gateway IKE_GW_SPOKE_2 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; advpn { suggester { disable } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_2 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_2; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del estado de IKE
- Comprobación del estado de IPsec
- Comprobación de túneles del próximo salto IPsec
- Comprobación de OSPFv3
Verificación del estado de IKE
Propósito
Verifique el estado de ICR.
Acción
Desde el modo operativo, ingrese el comando show security ike sa.
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 4295070 UP 2001:db8:1ad4ba7a115fa229 2001:db8:32e6382a058bb296 Main 2001:db8:3000::2 295069 UP 2001:db8:88a1520c20cbbe04 2001:db8:7fa4c8e365393c48 Main 2001:db8:5000::2
Significado
El comando enumera todas las SA de fase 1 de IKE activas.show security ike sa
Si no hay ninguna SA en la lista, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.
Comprobación del estado de IPsec
Propósito
Verifique el estado de IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec sa .
user@host> show security ipsec sa Total active tunnels: 2 Total Ipsec sas: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108881 ESP:aes-gcm-256/None 3dba3f80 2979/ unlim - root 500 2001:db8:5000::2 >67108881 ESP:aes-gcm-256/None 46746d5d 2979/ unlim - root 500 2001:db8:5000::2 <67108882 ESP:aes-gcm-256/None 16dceb60 2992/ unlim - root 500 2001:db8:3000::2 >67108882 ESP:aes-gcm-256/None 681209c2 2992/ unlim - root 500 2001:db8:3000::2
Significado
El comando enumera todas las SA de fase 2 de IKE activas.show security ipsec sa
Si no se enumera ninguna SA, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el hub y los radios.
Comprobación de túneles del próximo salto IPsec
Propósito
Compruebe los túneles del próximo salto IPsec.
Acción
Desde el modo operativo, ingrese el comando show security ipsec next-hop-tunnels.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:10c8 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:112f st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available
Significado
Las puertas de enlace del próximo salto son las direcciones IP de las interfaces de los radios.st0
El siguiente salto debe estar asociado con el nombre correcto de VPN IPsec.
Comprobación de OSPFv3
Propósito
Compruebe que OSPFv3 hace referencia a las direcciones IP de las interfaces de los radios.st0
Acción
Desde el modo operativo, ingrese el comando show ospf3 neighbor interface.
user@host> show ospf3 neighbor interface ID Interface State Pri Dead 2001:db8:9000:2 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:110e 2001:db8:20:54:49.693 INFO ${ret} = ID Interface State Pri Dead 2001:db8:9000:3 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:110e
Permitir que OSPF actualice las rutas rápidamente después de establecer túneles de acceso directo de ADVPN
Problema
Description
OSPF puede tardar hasta 9 segundos en actualizar una ruta de acceso directo en la tabla de enrutamiento. El tráfico puede tardar hasta 10 segundos en reenviarse al túnel de acceso directo.
Síntomas
Cuando se establece un túnel de acceso directo entre dos socios de acceso directo, OSPF inicia un paquete de saludo de OSPF. Debido al tiempo del establecimiento del túnel de acceso directo y la instalación del vecino de OSPF, es posible que se descarte el primer paquete del túnel. Esto puede hacer que OSPF intente de nuevo establecer una adyacencia OSPF.
De forma predeterminada, el intervalo en el que el OSPF vuelve a intentar establecer una adyacencia es de 10 segundos. Después de establecer un túnel de acceso directo, OSPF puede tardar más de 10 segundos en establecer una adyacencia entre los socios.
Solución
La configuración de un intervalo de reintento más pequeño, como 1 o 2 segundos, puede permitir que OSPF establezca adyacencias más rápido a través del túnel de acceso directo. Por ejemplo, utilice las siguientes configuraciones:
[edit] set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40
Consulte también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
p2mp