Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN de descubrimiento automático

La VPN de detección automática (ADVPN) establece dinámicamente túneles VPN entre radios para evitar el enrutamiento del tráfico a través del Hub.

Descripción de la VPN de descubrimiento automático

La VPN de descubrimiento automático (ADVPN) es una tecnología que permite que el HUB central informe dinámicamente a los radios sobre una mejor ruta para el tráfico entre dos radios. Cuando ambos radios reconocen la información del HUB, establecen un túnel de acceso directo y cambian la topología de enrutamiento para que el host llegue al otro lado sin enviar tráfico a través del HUB.

Protocolo ADVPN

ADVPN usa una extensión del protocolo IKEv2 para intercambiar mensajes entre dos pares, lo que permite que los radios establezcan un túnel de acceso directo entre sí. Los dispositivos que admiten la extensión ADVPN envían una ADVPN_SUPPORTED notificación en la carga IKEv2 Notify, incluida su información de capacidad y el número de versión de ADVPN durante el intercambio IKE inicial. Un dispositivo compatible con ADVPN puede actuar como un sugerdor de accesos directos o un socio de acceso directo, pero no como ambos.

Establecer un acceso directo

Una puerta de enlace VPN IPsec puede actuar como un sugeror de atajos cuando nota que el tráfico sale de un túnel con uno de sus pares y entra en un túnel con otro par. Figura 1 muestra el tráfico de Spoke 1 a Spoke 3 pasando por el hub.

Figura 1: Tráfico de radio a radio que pasa por el hubTráfico de radio a radio que pasa por el hub

Cuando ADVPN se configura en los dispositivos, la información de capacidad de acceso directo de ADVPN se intercambia entre el hub y los radios. Siempre que los radios 1 y 3 hayan anunciado previamente la capacidad de los socios de acceso directo de ADVPN al hub, el concentrador puede sugerir que los radios 1 y 3 establezcan un acceso directo entre sí.

El sugerdor de atajos usa sus SA IKEv2 ya establecidas con los pares para comenzar un intercambio de acceso directo con uno de los dos pares. Si el par acepta el intercambio de accesos directos, el sugerdor de accesos directos comienza un intercambio de acceso directo con el otro par. El intercambio de accesos directos incluye información para permitir que los pares (conocidos como socios de acceso directo) establezcan SA IKE e IPsec entre sí. La creación del acceso directo entre los socios de acceso directo comienza solo después de que ambos pares acepten el intercambio de acceso directo.

Figura 2 muestra el tráfico que pasa por un acceso directo entre los radios 1 y 3. El tráfico de Spoke 1 a Spoke 3 no necesita atravesar el hub.

Figura 2: Tráfico de radio a radio que pasa por acceso directo Tráfico de radio a radio que pasa por acceso directo

Roles de iniciador y responder de atajos

El sugerente de accesos directos elige uno de los socios de acceso directo para que actúe como iniciador del acceso directo; el otro socio actúa como respondedores. Si uno de los socios está detrás de un dispositivo TDR, entonces el socio detrás del dispositivo TDR se elige como iniciador. Si ninguno de los socios está detrás de un dispositivo TDR, entonces el sugerente elige aleatoriamente a uno de los socios como iniciador; el otro socio actúa como respondedores. Si ambos socios están detrás de dispositivos TDR, no se puede crear un acceso directo entre ellos; el sugerdor no envía un intercambio de acceso directo a ninguno de los pares.

El sugerdor de accesos directos comienza el intercambio de accesos directos con el respondedor primero. Si el respondedor acepta la sugerencia de acceso directo, el sugerente notifica al iniciador.

Mediante la información contenida en la notificación del sugerente de acceso directo, el iniciador de acceso directo establece un intercambio IKEv2 con el respondedor, y se establece una nueva SA IPsec entre los dos socios. En cada socio, la ruta a la red detrás de su socio ahora apunta al acceso directo en lugar del túnel entre el socio y el sugeror. El tráfico que se origina detrás de uno de los socios que está destinado a una red detrás del otro socio de acceso directo fluye a través del acceso directo.

Si los socios rechazan la sugerencia de acceso directo, entonces los socios notifican al sugerentes el motivo del rechazo. En este caso, el tráfico entre los socios sigue fluyendo a través del sugerdor de accesos directos.

Atributos de acceso directo

El acceso directo recibe algunos de sus atributos del sugerdor de accesos directos, mientras que otros atributos se heredan de la configuración del túnel VPN socio del sugeror. Tabla 1 muestra los parámetros del acceso directo.

Tabla 1: Parámetros de acceso directo

Atributos

Recibido/heredado de

ADVPN

Configuración

Antireplay

Configuración

Algoritmo de autenticación

Configuración

Detección de pares muertos

Configuración

bit DF

Configuración

Algoritmo de cifrado

Configuración

Establecer túneles

Sugerdor

Interfaz externa

Configuración

Política de puerta de enlace

Configuración

ID de ICR general

Configuración

Versión de ICR

Configuración

Intervalo de instalación

Configuración

Dirección local

Configuración

Identidad local

Sugerdor

Recorrido TDR

Configuración

Confidencialidad directa perfecta

Configuración

Protocolo

Configuración

Proxy ID

No aplica

Dirección remota

Sugerdor

Identidad remota

Sugerdor

Responda un SPI malo

Configuración

Selector de tráfico

No aplica

Terminación de acceso directo

De forma predeterminada, el acceso directo dura por tiempo indeterminado. Los socios de acceso directo terminan el acceso directo si el tráfico cae por debajo de una velocidad especificada durante un tiempo especificado. De forma predeterminada, el acceso directo se termina si el tráfico cae por debajo de 5 paquetes por segundo durante 300 segundos; el tiempo de inactividad y los valores de umbral de inactividad se pueden configurar para los socios. El acceso directo se puede eliminar manualmente en cualquier socio de acceso directo con los clear security ike security-association comandos o clear security ipsec security-association para borrar la SA IKE o IPsec correspondiente. Cualquiera de los socios de acceso directo puede finalizar el acceso directo en cualquier momento mediante el envío de una carga de eliminación de IKEv2 al otro socio de acceso directo.

Cuando se termina el acceso directo, se eliminan la SA de ICR correspondiente y todas las SA de IPsec secundarias. Después de finalizar el acceso directo, la ruta correspondiente se elimina en ambos socios de acceso directo y el tráfico entre los dos pares fluye de nuevo a través del sugeror. La información de terminación de acceso directo se envía de un socio al sugerdor.

La vida útil de un acceso directo es independiente del túnel entre el sugeror de accesos directos y el socio de acceso directo. El acceso directo no se termina simplemente porque el túnel entre el sugeror y el socio ha terminado.

Limitaciones de la configuración de ADVPN

Tenga en cuenta las siguientes limitaciones al configurar ADVPN:

  • ADVPN solo se admite para comunicaciones de sitio a sitio. La configuración de un sugerdor de ADVPN solo se permite en los concentradores AutoVPN.

  • No puede configurar las funciones de socio y de sugerdor. Cuando ADVPN está habilitado en una puerta de enlace, no puede deshabilitar las funciones de socio y sugerdor en la puerta de enlace.

  • Como se mencionó anteriormente, no puede crear un acceso directo entre los socios que están detrás de dispositivos TDR. El sugeridor puede iniciar un intercambio de accesos directos si solo uno de los socios está detrás de un dispositivo TDR o si ningún socio está detrás de dispositivos TDR.

  • No se admite el tráfico de multidifusión.

    1. A partir de Junos OS versión 19.2R1, en SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX 2.0 (con 2 vCPU) y vSRX 3.0 (con 2 vCPU), multidifusión independiente de protocolo (PIM) mediante el modo de punto a multipunto (P2MP) admite vpn de detección automática en la que se introduce un nuevo p2mp tipo de interfaz para PIM. La p2mp interfaz rastrea todas las pim que se unen por vecino para garantizar que el reenvío o la replicación de multidifusión solo sucedan a los vecinos que están en estado unido.

    2. A partir de Junos OS versión 18.1R1, ADVPN admite IPv6.

ADVPN no admite las siguientes configuraciones:

  • IKEv1

  • VPN basada en políticas

  • Carga de configuración IKEv2

  • Selectores de tráfico

  • Clave previamente compartida

  • Interfaces de túnel seguro punto a punto

Descripción del enrutamiento de tráfico con túneles de acceso directo

Los flaps de túnel o los cambios catastróficos pueden causar que los túneles estáticos y los túneles de acceso directo se desbalan. Cuando esto sucede, el tráfico a un destino específico puede enrutarse a través de un túnel de acceso directo inesperado en lugar de a través de un túnel estático esperado.

En Figura 3, existen túneles estáticos entre el hub y cada uno de los radios. Las adyacencias OSPF se establecen entre el hub y los radios. Spoke A también tiene un túnel de acceso directo con Spoke B y las adyacencias OSPF se establecen entre los radios. El hub (el sugeror de atajos) reconoce que si la conectividad entre el hub y Spoke A falla, se puede acceder a la red de Spoke A a través del túnel de acceso directo entre Spoke B y Spoke A.

Figura 3: Túneles estáticos y túneles de acceso directo establecidos en la red radialTúneles estáticos y túneles de acceso directo establecidos en la red radial

En Figura 4, el túnel estático entre el hub y el radio A está inactivo. Si hay tráfico nuevo de Spoke C a Spoke A, Spoke C reenvía el tráfico al hub porque no tiene un túnel de acceso directo con Spoke A. El hub no tiene un túnel estático activo con Spoke A, pero reconoce que hay un túnel de acceso directo entre Spoke A y Spoke B, por lo que reenvía el tráfico de Spoke C a Spoke B.

Figura 4: Ruta de tráfico de Spoke C a Spoke ARuta de tráfico de Spoke C a Spoke A

Siempre que tanto Spoke B como Spoke C admitieran la capacidad de socio de detección automática de VPN (ADVPN), el hub puede sugerir que los radios establezcan un acceso directo entre sí. Esto ocurre a pesar de que no hay tráfico directo entre los dos radios. El tráfico de Spoke C a Spoke A viaja por el túnel de acceso directo entre Spoke C y Spoke B, y luego por el túnel de acceso directo entre Spoke B y Spoke A (consulte Figura 5).

Figura 5: Ruta de tráfico de spoke C a spoke A a través de túneles de acceso directoRuta de tráfico de spoke C a spoke A a través de túneles de acceso directo

Cuando se restablece el túnel estático entre el hub y el radio A, el túnel se anuncia para todos los radios. Spoke C se entera de que hay una mejor ruta para llegar al Radio A; en lugar de pasar tráfico a través del radio B, reenvía el tráfico del radio A al hub. El hub sugiere que se establezca un túnel de acceso directo entre Spoke C y Spoke A. Cuando el túnel de acceso directo se establece entre Spoke C y Spoke A, el tráfico fluye a través del túnel de acceso directo (consulte Figura 6). El tráfico entre Spoke C y Spoke A ya no viaja por el radio B, y el túnel de acceso directo entre Spoke B y Spoke C eventualmente desaparece.

Figura 6: Ruta de tráfico desde el radio C hasta el spoke A a través del túnel de acceso directoRuta de tráfico desde el radio C hasta el spoke A a través del túnel de acceso directo

Puede usar la opción en el connection-limit nivel de jerarquía [edit security ike gateway gateway-name advpn partner] para establecer la cantidad máxima de túneles de acceso directo que se pueden crear con diferentes socios de acceso directo mediante una puerta de enlace determinada. El número máximo, que también es el predeterminado, depende de la plataforma.

Ejemplo: Mejora de la utilización de recursos de red con túneles dinámicos vpn de descubrimiento automático

Si está implementando una red AutoVPN, es posible que pueda aumentar la utilización de los recursos de red configurando la VPN de detección automática (ADVPN). En las redes autoVPN, el tráfico de VPN fluye a través del hub incluso cuando el tráfico viaja de un radio a otro. ADVPN permite que los túneles VPN se establezcan dinámicamente entre radios, lo que puede dar lugar a una mejor utilización de los recursos de red. Utilice este ejemplo para configurar ADVPN para habilitar túneles VPN dinámicos de radio a radio en su red AutoVPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos de la serie SRX compatibles como concentrador y radios AutoVPN.

  • Junos OS versión 12.3X48-D10 o versiones posteriores que admiten ADVPN.

  • Certificados digitales inscritos en el hub y los radios que permiten que los dispositivos se autentifiquen entre sí.

Antes de empezar:

  1. Obtenga la dirección de la entidad de certificación (CA) y la información que necesita (como la contraseña de desafío) cuando envíe solicitudes de certificados locales. Consulte Descripción de solicitudes de certificado local.

  2. Inscríbase los certificados digitales en cada dispositivo. Vea el ejemplo: Carga manual de certificados de CA y locales.

En este ejemplo, se utiliza el protocolo de enrutamiento dinámico OSPF, así como configuraciones de ruta estáticas para reenviar paquetes a través de túneles VPN. Debe estar familiarizado con el protocolo de enrutamiento dinámico OSPF que se utiliza para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo, se muestran las configuraciones de un concentrador AutoVPN y dos radios para ADVPN. Los radios establecen conexiones VPN IPsec al hub, lo que les permite comunicarse entre sí y acceder a los recursos del hub. Mientras que el tráfico se pasa inicialmente de un radio al otro a través del hub, ADVPN permite que los radios establezcan una asociación de seguridad directa entre sí. El concentrador actúa como el sugerdor de acceso directo. En el hub, la configuración de ADVPN deshabilita el partner rol. En los radios, la configuración de ADVPN deshabilita el suggester rol.

Ciertas opciones de túnel de IKE de fase 1 y fase 2 configuradas en el concentrador y radios de AutoVPN deben tener los mismos valores. Tabla 2 muestra los valores utilizados en este ejemplo.

Tabla 2: Opciones de fase 1 y fase 2 para radios y concentrador autoVPN para ADVPN Ejemplo

Option

valor

Propuesta de ICR:

Método de autenticación

firmas rsa

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

sha1

Algoritmo de cifrado

aes-256-cbc

Política de ICR:

Certificado

certificado local

Puerta de enlace de ICR:

Versión

v2-only

Propuesta de IPsec:

Protocolo

Esp

Algoritmo de autenticación

hmac-sha1-96

Algoritmo de cifrado

aes-256-cbc

Política de IPsec:

Grupo de confidencialidad directa perfecta (PFS)

grupo5

La configuración de puerta de enlace de ICR en el hub y los radios incluyen valores remotos y locales que identifican a los pares de VPN. Tabla 3 muestra la configuración de puerta de enlace de ICR para el concentrador y los radios en este ejemplo.

Tabla 3: Ejemplo de configuración de puerta de enlace IKE para ADVPN

Option

Hub

Radios

Dirección IP remota

Dinámica

Habló 1: 11.1.1.1

Habló 2: 11.1.1.1

Dirección IP local

11.1.1.1

Habló 1: 21.1.1.2

Habló 2: 31.1.1.2

ID de IKE remoto

Nombre distinguido (DN) con la cadena "XYZ" en el campo organización (O) y "Ventas" en el campo de unidad de organización (O) en los certificados de los radios

DN con la cadena "Ventas" en el campo de la UNIDAD organizativa en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

El concentrador autentica el ID de ICR del radio si los campos de asunto de los certificados de los radios contienen la cadena "XYZ" en el campo O y "Ventas" en el campo DE LA.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 7 muestra los dispositivos serie SRX que se configurarán para este ejemplo.

Figura 7: Despliegue autoVPN con ADVPNDespliegue autoVPN con ADVPN

Configuración

Configuración del sugerer (hub)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar el sugerdor:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento y las rutas estáticas.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure la información del certificado.

  6. Configurar zonas.

  7. Configure la política de seguridad predeterminada.

Resultados

Desde el modo de configuración, ingrese los comandos , show protocols, show security zonesshow routing-optionsshow security policiesshow security ikeshow security pkishow security ipsecy para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del socio (hablado 1)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar spoke 1:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento y las rutas estáticas.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure la información del certificado.

  6. Configurar zonas.

  7. Configure la política de seguridad predeterminada.

Resultados

Desde el modo de configuración, ingrese los comandos , show protocols, show security zonesshow routing-optionsshow security policiesshow security ikeshow security pkishow security ipsecy para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del socio (hablado 2)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar spoke 2:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento y las rutas estáticas.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure la información del certificado.

  6. Configurar zonas.

  7. Configure la política de seguridad predeterminada.

Resultados

Desde el modo de configuración, ingrese los comandos , show protocols, show security zonesshow routing-optionsshow security policiesshow security ikeshow security pkishow security ipsecy para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente. Primero, verifique que los túneles se establezcan entre el concentrador y los radios de AutoVPN. Cuando se pasa tráfico de un radio a otro a través del hub, se puede establecer un acceso directo entre los radios. Compruebe que los socios de acceso directo hayan establecido un túnel entre ellos y que se instale una ruta al par en los socios.

Verificar túneles entre el hub y los radios

Propósito

Verifique que los túneles se establezcan entre el concentrador y los radios de AutoVPN. El tráfico inicial de un radio al otro debe viajar por el hub.

Acción

Desde el modo operativo, ingrese los show security ike security-associations comandos y show security ipsec security-associations y en el hub y los radios.

Se introducen los siguientes comandos en el hub:

Los siguientes comandos se ingresan en spoke 1:

Los siguientes comandos se ingresan en spoke 2:

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. El concentrador muestra dos túneles activos, uno a cada radio. Cada radio muestra un túnel activo al hub.

Si no se enumeran sas para la fase 1 de IKE, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.

Si no se enumeran sas para la fase 2 de ICR, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el hub y los radios.

El show route protocol ospf comando muestra las entradas de la tabla de enrutamiento que se aprendieron del protocolo OSPF. El show ospf neighbor comando muestra información acerca de los vecinos de OSPF.

Verificar el túnel de acceso directo entre socios

Propósito

El concentrador de AutoVPN puede actuar como un sugeror de atajos cuando nota que el tráfico sale de un túnel con uno de sus radios y entra en un túnel con otro radio. Se establece una nueva SA de IPsec, o acceso directo, entre los dos socios de acceso directo. En cada socio, la ruta a la red detrás de su socio ahora apunta al túnel de acceso directo en lugar del túnel entre el socio y el sugeror (hub).

Acción

Desde el modo operativo, ingrese los show security ike security-associationscomandos , show security ipsec security-associations, show route protocol ospfy show ospf neighbor en los radios.

Se introducen los siguientes comandos en el hub:

Los siguientes comandos se ingresan en spoke 1:

Los siguientes comandos se ingresan en spoke 2:

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. El concentrador aún muestra dos túneles activos, uno a cada radio. Cada radio muestra dos túneles activos, uno al hub y otro a su socio de acceso directo.

El show route protocol ospf comando muestra la adición de rutas al socio y al hub.

Ejemplo: Configurar ADVPN con OSPFv3 para el tráfico IPv6

En este ejemplo, se muestra cómo configurar un hub de ADVPN y dos radios para crear un túnel de acceso directo y cambiar la topología de enrutamiento para que el host llegue al otro lado sin enviar tráfico a través del hub. En este ejemplo, se configura ADVPN para entornos IPv6 mediante OSPFv3 para reenviar paquetes a través de los túneles VPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos de la serie SRX compatibles como concentrador y radios de ADVPN

  • Junos OS versión 18.1R1 y versiones posteriores.

Antes de empezar:

  • Obtenga la dirección de la entidad de certificación (CA) y la información que necesita (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se utiliza para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo, se muestra la configuración de un concentrador de ADVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (UO) "SLT" en el campo de asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo de la UNIDAD organizativa.

Los radios establecen conexiones VPN IPsec al hub, lo que les permite comunicarse entre sí, así como acceder a recursos en el hub. Las opciones de túnel de IKE de fase 1 y fase 2 configuradas en el concentrador de ADVPN y todos los radios deben tener los mismos valores. Tabla 4 muestra las opciones utilizadas en este ejemplo.

Tabla 4: Opciones de fase 1 y fase 2 para configuraciones básicas de OSPFv3 de ADPN Hub y Spoke

Option

valor

Propuesta de ICR:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticación

SHA-384

Algoritmo de cifrado

AES 256 CBC

Política de ICR:

Modo

Principal

Propuesta de IPsec:

Protocolo

ESP

Segundos de vida útil

3000

Algoritmo de cifrado

AES 256 GCM

Política de IPsec:

Grupo de confidencialidad directa perfecta (PFS)

19

La misma entidad de certificación (CA) está configurada en todos los dispositivos.

Tabla 5 muestra las opciones configuradas en el hub y en todos los radios.

Tabla 5: Configuración de ADVPN OSPFv3 para hub y todos los radios

Option

Hub

Todos los radios

Puerta de enlace de ICR:

Dirección IP remota

Dinámica

2001:db8:2000::1

ID de IKE remoto

Nombre distinguido (DN) en el certificado del radio con la cadena SLT en el campo unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

reth1

Habló 1: ge-0/0/0.0

Habló 2: ge-0/0/0.0

VPN:

Interfaz de enlace

st0.1

st0.1

Establecer túneles

(no configurado)

establecer túneles de inmediato

Tabla 6 muestra las opciones de configuración diferentes en cada radio.

Tabla 6: Comparación entre las configuraciones de radio OSPFv3

Option

Habló 1

Habló 2

interfaz st0.1

2001:db8:9000::2/64

2001:db8:9000::3/64

Interfaz a la red interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interfaz a Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

La información de enrutamiento de todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 8 muestra los dispositivos serie SRX que se configurarán para ADVPN en este ejemplo.

Figura 8: Despliegue de ADVPN con OSPFv3 Despliegue de ADVPN con OSPFv3

Configuración

Para configurar ADVPN, realice estas tareas:

En la primera sección se describe cómo obtener certificados de CA y locales en línea mediante el Protocolo simple de inscripción de certificados (SCEP) en los dispositivos hub y spoke.

Inscríbase certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el hub:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la charla 1:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (UO) que se muestra en el campo de asunto es SLT. La configuración de ICR en el concentrador incluye ou=SLT identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en la radio 2:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (UO) que se muestra en el campo de asunto es SLT. La configuración de ICR en el concentrador incluye ou=SLT identificar el radio.

Configuración del hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

  8. Configurar clúster de chasis

Resultados

Desde el modo de configuración, ingrese los comandos , show protocols, show security policiesshow routing-optionsshow security pki show chassis clustershow security ikeshow security zonesshow security ipsecy para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de Spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar spoke 1:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, ingrese los comandos , show protocols, show security policiesshow routing-optionsshow security pkishow security ikeshow security zonesshow security ipsecy para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de Spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar spoke 2:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, ingrese los comandos , show protocols, show security policiesshow routing-optionsshow security pkishow security ikeshow security zonesshow security ipsecy para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de ICR

Propósito

Verifique el estado de ICR.

Acción

Desde el modo operativo, ingrese el show security ike sa comando.

Significado

El show security ike sa comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el hub y los radios.

Verificar el estado de IPsec

Propósito

Compruebe el estado de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec sa comando.

Significado

El show security ipsec sa comando enumera todas las SA de fase 2 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el hub y los radios.

Verificar túneles IPsec de próximo salto

Propósito

Compruebe los túneles de salto siguiente IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace del siguiente salto son las direcciones IP de las st0 interfaces de los radios. El siguiente salto debe asociarse con el nombre de VPN IPsec correcto.

Verificar OSPFv3

Propósito

Compruebe que OSPFv3 hace referencia a las direcciones IP para las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el show ospf3 neighbor interface comando.

Permitir que OSPF actualice las rutas rápidamente después de establecer túneles de acceso directo de ADVPN

Problema

Descripción

OSPF puede tardar hasta 9 segundos en actualizar una ruta de acceso directo en la tabla de enrutamiento. Puede tardar hasta 10 segundos antes de que el tráfico se reenvíe al túnel de acceso directo.

Síntomas

Cuando se establece un túnel de acceso directo entre dos socios de acceso directo, OSPF inicia un paquete de saludo OSPF. Debido a la temporización del establecimiento del túnel de acceso directo y la instalación vecina del OSPF, es posible que se caiga el primer paquete del túnel. Esto puede hacer que OSPF vuelva a intentar establecer una adyacencia OSPF.

De forma predeterminada, el intervalo en el que el OSPF reintentos para establecer una adyacencia es de 10 segundos. Después de establecer un túnel de acceso directo, OSPF puede tardar más de 10 segundos en establecer una adyacencia entre los socios.

Solución

Configurar un intervalo de reintento más pequeño, como 1 o 2 segundos, puede permitir que OSPF establezca adyacencias más rápido a través del túnel de acceso directo. Por ejemplo, utilice las siguientes configuraciones:

Tabla de historial de versiones
Liberación
Descripción
19.2R1
A partir de Junos OS versión 19.2R1, en SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX 2.0 (con 2 vCPU) y vSRX 3.0 (con 2 vCPU), multidifusión independiente de protocolo (PIM) mediante el modo de punto a multipunto (P2MP) admite vpn de detección automática en la que se introduce un nuevo p2mp tipo de interfaz para PIM.
18.1R1
A partir de Junos OS versión 18.1R1, ADVPN admite IPv6.