Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN en dispositivos concentrados y radiales

AutoVPN admite un agregador VPN de IPsec (conocido como un concentrador) que funciona como un único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un concentrador para los radios actuales y futuros.

Descripción de AutoVPN

AutoVPN admite un agregador VPN de IPsec (conocido como un concentrador) que funciona como un único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un concentrador para los radios actuales y futuros. Cuando se agregan o eliminan dispositivos radiales, no es necesario realizar cambios de configuración en el concentrador, lo que permite a los administradores la flexibilidad de administrar implementaciones de red a gran escala.

Modos de túnel seguro

AutoVPN es compatible con VPN de IPsec basadas en rutas. En el caso de las VPN basadas en la ruta, puede configurar una interfaz de túnel seguro (st0) y enlazarla con un túnel VPN de IPsec. las interfaces st0 en las redes AutoVPN se pueden configurar en uno de estos dos modos:

  • Modo punto a punto: de forma predeterminada, una interfaz st0 configurada en el nivel de jerarquía [ ] se encuentra en modo punto edit interfaces st0 unit x a punto. A partir de Junos OS Release 17.4 R1, la dirección IPv6 se soporta en AutoVPN.

  • Modo punto a multipunto: en este modo, la opción se configura en el nivel de jerarquía [ ] en las interfaces st0 y hub AutoVPN en el concentrador y los radios deben estar numeradas, y la dirección IP configurada en un spoke debe existir en la subred de interfaz st0 del multipointedit interfaces st0 unit x hub.

Tabla 1compara los modos de interfaz de túnel seguro AutoVPN punto a punto y de punto a multipunto.

Tabla 1: Comparación entre los modos de túnel seguro AutoVPN punto a punto y punto a multipunto

Modo punto a punto

Modo punto a multipunto

Es compatible con IKEv1 o IKEv2.

Es compatible con IKEv1 o IKEv2.

Admite el tráfico IPv4 e IPv6.

Soporta IPv4 o IPv6.

Selectores de tráfico

Protocolos de enrutamiento dinámico (OSPF, OSPFv3 y iBGP)

Detección de pares de tráfico muerto

Detección de pares de tráfico muerto

Permite que los dispositivos radiales sean serie SRX o de otros fabricantes.

Este modo solo se admite con dispositivos serie SRX.

Authentication

La autenticación compatible para los concentradores y radios AutoVPN es X. 509 certificados de infraestructura de clave pública (PKI). El tipo de usuario ICR de grupo configurado en el concentrador permite especificar cadenas que coincidan con el campo de asunto alternativo de certificados de radios. También se pueden especificar coincidencias parciales para los campos de asunto de los certificados de radios. Consulte Understanding spoke Authentication in AutoVPN Deployments.

A partir de Junos OS versión 21.2R1, SRX5000 línea de dispositivos con tarjeta SPC3 y vSRX admite AutoVPN con clave precompartida seed.

Somos compatibles con AutoVPN con las siguientes dos opciones:

  • PSK seeded de VPN automática: Varios pares que se conectan a la misma puerta de enlace que tienen una clave previamente compartida diferente.
  • PSK compartida VPN automática: Varios pares que se conectan a la misma puerta de enlace que tienen la misma clave previamente compartida.

PSK seeded es diferente de PSK no seeded (es decir, la misma PSK compartida). PSK seeded utiliza clave maestra para generar el PSK compartido para el par. Por lo tanto, cada par tendrá una PSK diferente que se conecte a la misma puerta de enlace. Por ejemplo: Considere un caso en el que el par 1 con el id. user1@juniper.net de ICR y el par 2 con ICR ID user2@juniper.net intentos de conectarse a la puerta de enlace. En este caso, la puerta de enlace configurada como que contiene la clave maestra configurada como tendrá la HUB_GWThisIsMySecretPreSharedkey PSK diferente de la siguiente manera:

Par 1: 79e4ea39f5c06834a3c4c031e37c6de24d46798a

Par 2: 3db8385746f3d1e639435a882579a9f28464e5c7

Esto significa que para diferentes usuarios con un ID de usuario diferente y la misma clave maestra se generará una clave previamente compartida diferente o única.

Puede usar cualquiera o seeded-pre-shared-keypre-shared-key para PSK de VPN automática:

  • Clave previamente compartida diferente: Si el está establecido, la puerta de enlace VPN utiliza ICR clave previamente compartida para seeded-pre-shared-key autenticar cada par remoto. Las claves par previamente compartidas se generan mediante el conjunto en master-key la puerta ICR y se comparten entre los pares.

    Para permitir que la puerta de enlace VPN use una clave ICR previamente compartida (PSK) diferente para autenticar cada par remoto, utilice los nuevos comandos CLI o bajo el nivel seeded-pre-shared-key ascii-textseeded-pre-shared-key hexadecimal[edit security ike policy policy_name] jerárquico.

    Este comando es mutuamente exclusivo con pre-shared-key comando bajo la misma jerarquía.

    Consulte política.

  • Clave compartida/la misma previamente compartida: Si pre-shared-key-type no está configurado, entonces la PSK se considera compartida. La puerta de ICR de VPN utiliza la misma clave previamente compartida para autenticar a todos los pares remotos.

    Para permitir que la puerta de enlace VPN use el mismo ICR PSK para autenticar todos los pares remotos, utilice los comandos CLI de red pre-sharedkey ascii-text existentes o pre-shared-key hexadecimal .

En la puerta de enlace VPN, puede omitir la validación ICR de ID mediante la general-ikeid instrucción de configuración en el nivel de [edit security ike gateway gateway_name dynamic] jerarquía. Si esta opción está configurada, durante la autenticación del par remoto, la puerta de enlace VPN permite cualquier conexión ICR ID remoto. Consulte general-ikeidla.

La línea de dispositivos SRX5000 con tarjeta sPC3 y vSRX admite los siguientes modos ICR completos:

Tabla 2: Compatibilidad con PSK autoVPN

ICR seguro

Línea de dispositivos SRX5000 con tarjeta sPC3 y vSRX

PSK compartida

Seeded-PSK

IKEv2

IKEv2 con any-remote-id

Modo agresivo IKEv1

Modo agresivo IKEv1 con any-remote-id /general-ikeid

Modo principal IKEv1

No

Modo principal IKEv1 con cualquier id remoto/general-ikeid

No

Consulte ejemplo: Configuración de AutoVPN con clave previamente compartida.

Configuración y administración

AutoVPN se configura y administra en dispositivos serie SRX con la CLI. Se pueden configurar varios concentradores AutoVPN en un solo dispositivo serie SRX. El número máximo de radios compatibles con un concentrador configurado es específico del modelo del dispositivo de serie SRX.

Descripción de las limitaciones de AutoVPN

Las siguientes características no son compatibles con AutoVPN:

  • No se admiten VPN basadas en políticas.

  • El protocolo de enrutamiento dinámico RIP no es compatible con túneles AutoVPN.

  • No se admiten claves y Autokey ICRs manuales con claves compartidas previamente.

  • No se admite la configuración de enlace de túnel estático de próximo salto (NHTB) en el concentrador para radios.

  • No se admite la multidifusión.

  • El tipo de usuario del ID del ICR de grupo no es compatible con una dirección IP como ID. de ICR.

  • Cuando se utiliza el tipo de usuario del ICR de grupo, el identificador de ICR no debe solaparse con otras puertas de enlace de ICR configuradas en la misma interfaz externa.

Descripción de AutoVPN con los selectores de tráfico

Los concentradores AutoVPN se pueden configurar con varios selectores de tráfico para proteger el tráfico a los radios. Esta característica ofrece las siguientes ventajas:

  • Una sola configuración VPN puede admitir varios interlocutores diferentes.

  • Los interlocutores VPN pueden ser dispositivos no serie SRX.

  • Un solo interlocutor puede establecer varios túneles con la misma VPN.

  • Se puede admitir un número mayor de túneles que con AutoVPN con protocolos de enrutamiento dinámico.

A partir de Junos OS versión 17.4 R1, AutoVPN Networks que utilizan interfaces de túnel seguro en modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para los interlocutores ICR.

Cuando se establece el túnel de concentrador a periferia, el concentrador utiliza la inserción automática de rutas (ARI), conocida en versiones anteriores como inserción de ruta inversa (RRI), para insertar la ruta en el prefijo de radios de su tabla de enrutamiento. A continuación, la ruta ARI se puede importar a los protocolos de enrutamiento y distribuirse a la red central.

AutoVPN con los selectores de tráfico se pueden configurar con la interfaz de túnel seguro (st0) en modo punto a punto tanto para IKEv1 como para IKEv2.

Los protocolos de enrutamiento dinámico no se admiten en las interfaces st0 cuando se configuran los selectores de tráfico.

Tenga en cuenta las siguientes consideraciones a la hora de configurar AutoVPN con los selectores de tráfico:

  • Los selectores de tráfico con interfaces st0 en el modo punto a punto no admiten protocolos de enrutamiento dinámico.

  • La carga de la configuración VPN de detección automática y IKEv2 no se puede configurar con AutoVPN con los selectores de tráfico.

  • Los radios pueden ser dispositivos no serie SRX; sin embargo, tenga en cuenta las siguientes diferencias:

    • En IKEv2, un radio no serie SRX puede proponer varios selectores de tráfico en una sola negociación de SA. Esto no se admite en dispositivos serie SRX y la negociación se rechaza.

    • Un radio no serie SRX puede identificar puertos específicos o protocolos para el uso del selector de tráfico. Los selectores de tráfico de serie SRX dispositivos no admiten puertos ni protocolos, por lo que la negociación es rechazada.

Descripción de la autenticación de radios en implementaciones de AutoVPN

En las implementaciones AutoVPN, los dispositivos radiales deben tener carga de certificados de PKI válidos X. 509. Puede utilizar el show security pki local-certificate detail comando para mostrar información acerca de los certificados cargados en un dispositivo.

En este tema se trata la configuración del concentrador que permite que los radios se autentiquen y se conecten al concentrador:

Configuración del ID ICR de grupo en el concentrador

La función de identificación de ICR de grupo permite que varios dispositivos radiales compartan una configuración ICR del concentrador. La identificación del titular del certificado, en el asunto o en los campos de asunto alternativos del certificado X.509 de cada radio, debe contener una parte que sea común a todos los radios; la parte común de la identificación del certificado se especifica para la ICR configuración en el concentrador.

Por ejemplo, el ICR ID example.net se puede configurar en el concentrador para identificar los radios con los nombres device1.example.netde device2.example.nethost, device3.example.nety. El certificado de cada radio debe contener una identidad de nombre de host en el campo example.net de asunto alternativo con respecto a la parte derecha del campo; por ejemplo, device1.example.net. En este ejemplo, todos los radios utilizan esta identidad de nombre de host en su carga de ICR ID. Durante ICR negociación, el identificador de ICR de un radio se utiliza para hacer coincidir la parte común de la identidad del ICR del mismo nivel configurada en el concentrador. Un certificado válido autentica los radios.

La parte común de la identificación del certificado puede ser una de las siguientes:

  • Por ejemplo example.net, un nombre de host parcial en la parte más a la derecha del campo de asunto alternativo del certificado.

  • Por ejemplo @example.net, una dirección de correo electrónico parcial en la parte más a la derecha del campo de asunto alternativo del certificado.

  • Una cadena contenedora, un conjunto de caracteres comodín, o ambos, para que coincidan con los campos de asunto del certificado. Los campos de asunto contienen detalles del titular del certificado digital en formato de nombre completo (DN) de notación de sintaxis abstracta uno (ASN. 1). Los campos pueden incluir organización, unidad organizativa, país, localidad o nombre común.

    Para configurar un ID ICR de grupo para que coincida con los campos de asunto de los certificados, puede especificar los siguientes tipos de coincidencias de identidad:

    • Contenedor: el concentrador autentica el ID de ICR spoke si los campos de asunto del certificado de spoke coinciden exactamente con los valores configurados en el concentrador. Se pueden especificar varias entradas para cada campo de asunto (por ejemplo ou=eng,ou=sw,). El orden de los valores en los campos debe coincidir.

    • Comodín: el concentrador autentica el ID de ICR de radio si los campos de asunto del certificado del spoke coinciden con los valores configurados en el concentrador. La coincidencia de caracteres comodín solo admite un valor por campo (por ou=eng ejemplo ou=sw , o ou=eng,ou=swpero no). El orden de los campos es inconsecuente.

En el siguiente ejemplo se configura un identificador ICR de grupo con el nombre example.net de host parcial en el campo de asunto alternativo del certificado.

En este ejemplo, example.net es la parte común de la identificación del nombre de host utilizada para todos los radios. Todos los certificados X. 509 en los radios deben contener una identidad de nombre de host en el campo example.net de asunto alternativo con en la parte derecha. Todos los radios deben usar la identidad de nombre de host en su ICR carga de ID.

En el siguiente ejemplo se configura un grupo ICR identificador con caracteres comodín para que coincida con sales los valores de los campos example unidad organizativa y asunto de la organización del certificado.

En este ejemplo, los campos ou=sales,o=example son la parte común del campo de asunto en los certificados que se esperaban de los radios. Durante ICR negociación, si una radio presenta un certificado con los campos cn=alice,ou=sales,o=example de asunto en su certificado, la autenticación se realiza correctamente y se establece el túnel. Si un radio presenta un certificado con los campos cn=thomas,ou=engineer,o=example de asunto en su certificado, el concentrador rechazará el certificado según debería ser salesla unidad organizativa.

Exclusión de una conexión de radios

Para excluir un radio concreto de conectarse al concentrador, es necesario revocar el certificado de dichos radios. El concentrador necesita recuperar la última lista de revocación de certificados (CRL) de la CA que contiene el número de serie del certificado revocado. El concentrador rechazará una conexión VPN de los radios revocados. Hasta que la CRL más reciente esté disponible en el concentrador, es posible que el concentrador continúe estableciendo un túnel desde los radios revocados. Para obtener más información, consulte Descripción del Protocolo de estado de certificados en línea y listas de revocación de certificados , y descripción de los perfiles de autoridad de certificados.

Descripción general de la configuración de AutoVPN

Los pasos siguientes describen las tareas básicas para configurar AutoVPN en los dispositivos radiales. El concentrador AutoVPN se configura una vez para todos los radios actuales y nuevos.

Para configurar el concentrador AutoVPN:

  1. Inscriba un certificado de CA y el certificado local en el dispositivo.
  2. Crear una interfaz de túnel seguro (st0) y configurarla en el modo punto a multipunto.
  3. Configure una sola directiva de ICR.
  4. Configure una puerta de enlace de ICR con un identificador de ICR de grupo que sea común a todos los radios.
  5. Configure una sola directiva IPsec y una VPN.
  6. Configure un protocolo de enrutamiento dinámico.

Para configurar un dispositivo de radio de serie SRX AutoVPN:

  1. Inscriba un certificado de CA y el certificado local en el dispositivo.

  2. Crear una interfaz st0 y configurarla en el modo punto a multipunto.

  3. Configure una directiva de ICR para que coincida con la Directiva de ICR configurada en el concentrador.

  4. Configure una puerta de enlace de ICR con un identificador que coincida con el ID. ICR del grupo configurado en el concentrador.

  5. Configure una directiva IPsec para que coincida con la directiva IPsec configurada en el concentrador.

  6. Configure un protocolo de enrutamiento dinámico.

Ejemplo Configuración de AutoVPN básicos con iBGP

En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para sitios remotos. En este ejemplo se configura iBGP para reenviar paquetes a través de los túneles VPN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos serie SRX compatibles como AutoVPN Hub y Spokes

  • Junos OS versión 12.1 X44-D10 y posterior compatible con AutoVPN

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN. Para obtener más información acerca de los requisitos específicos para un protocolo de enrutamiento dinámico, consulte la Introducción a los protocolos de enrutamiento.

Descripción general

En este ejemplo se muestra la configuración de un concentrador de AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD.

Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 3 muestra las opciones utilizadas en este ejemplo.

Tabla 3: Opciones de las fases 1 y 2 de AutoVPN configuraciones de concentrados y radios

,

Valor

ICR propuesta:

Método de autenticación

Certificados digitales de RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Directiva de ICR:

Medio

Principalmente

Propuesta de IPsec:

Protocolo

SENSORIAL

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 4muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 4: Configuración de AutoVPN para concentrador y todos los radios

,

Navegación

Todos los radios

Puerta de enlace de ICR:

Dirección IP remota

Manera

1.1.1.1

ID. de ICR remoto

Nombre distinguido (DN) en el certificado del radio con la cadena en el campo SLT unidad organizacional (UO)

DN en el certificado del concentrador

ID. de ICR local

DN en el certificado del concentrador

DN en el certificado del spoke

Interfaz externa

ge-0/0/1.0

Radios 1: fe-0/0/1.0

Radios 2: ge-0/0/1.0

VIRTUALES

Enlazar interfaz

st0.0

st0.0

Establecer túneles

(no configurado)

Inmediatamente durante la confirmación de configuración

Tabla 5muestra las opciones de configuración que son diferentes en cada radio.

Tabla 5: Comparación entre las configuraciones de radios

,

Radios 1

Radios 2

interfaz St 0.0

10.10.10.2/24

10.10.10.3/24

Interfaz a la red interna

(fe-0.0/4.0) 60.60.60.1/24

(fe-0.0/4.0) 70.70.70.1/24

Interfaz a Internet

(fe-0/0/1.0) 2.2.2.1/30

(ge-0/0/1.0) 3.3.3.1/30

La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

Topología

Figura 1en este ejemplo se muestra el serie SRX dispositivos que se configurarán para AutoVPN.

Figura 1: Implementación básica de AutoVPN con iBGPImplementación básica de AutoVPN con iBGP

Automática

Para configurar AutoVPN, realice estas tareas:

En la primera sección, se describe cómo obtener certificados de CA y locales con el protocolo de inscripción de certificados simple (SCEP) en los dispositivos concentrados y radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en los radios 1:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en radios 2:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Configurando el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar el concentrador:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 2:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación del estado de la fase 1 ICR

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de la fase 2 de IPsec.

Intervención

En modo operativo, escriba el security ipsec security-associations comando.

Efectos

El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.

Comprobación de los túneles IPsec de próximo salto

Purpose

Compruebe los túneles de próximos saltos IPsec.

Intervención

En modo operativo, escriba el show security ipsec next-hop-tunnels comando.

Efectos

Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.

Comprobando BGP

Purpose

Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios.

Intervención

En modo operativo, escriba el show bgp summary comando.

Comprobar rutas aprendidas

Purpose

Compruebe que se han aprendido las rutas a los radios.

Intervención

En modo operativo, escriba el show route 60.60.60.0 comando.

En modo operativo, escriba el show route 70.70.70.0 comando.

Ejemplo Configuración de AutoVPN básicos con iBGP para el tráfico de IPv6

En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para sitios remotos. En este ejemplo, se configura el entorno de AutoVPN para IPv6 utilizando el iBGP para reenviar paquetes a través de los túneles VPN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos serie SRX compatibles como AutoVPN Hub y Spokes.

  • Junos OS Release 18.1 R1 y versiones posteriores.

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN. Para obtener más información acerca de los requisitos específicos para un protocolo de enrutamiento dinámico, consulte la Introducción a los protocolos de enrutamiento.

Descripción general

En este ejemplo se muestra la configuración de un concentrador de AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD.

Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 6 muestra las opciones utilizadas en este ejemplo.

Tabla 6: Opciones de las fases 1 y 2 de AutoVPN configuraciones de concentrados y radios

,

Valor

ICR propuesta:

Método de autenticación

Certificados digitales de RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticación

SHA-384

Algoritmo de cifrado

AES 256 CBC

Directiva de ICR:

Medio

Principalmente

Propuesta de IPsec:

Protocolo

SENSORIAL

Segundos de duración

3000

Algoritmo de cifrado

AES 256 GCM

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

19

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 7muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 7: Configuración de AutoVPN para concentrador y todos los radios

,

Navegación

Todos los radios

Puerta de enlace de ICR:

Dirección IP remota

Manera

2001:db8:2000::1

ID. de ICR remoto

Nombre distinguido (DN) en el certificado del radio con la cadena en el campo SLT unidad organizacional (UO)

DN en el certificado del concentrador

ID. de ICR local

DN en el certificado del concentrador

DN en el certificado del spoke

Interfaz externa

ge-0/0/0

Radios 1: ge-0/0/0.0

Radios 2: ge-0/0/0.0

VIRTUALES

Enlazar interfaz

st0.1

st0.1

Establecer túneles

(no configurado)

establecer: túneles en tráfico

Tabla 8muestra las opciones de configuración que son diferentes en cada radio.

Tabla 8: Comparación entre las configuraciones de radios

,

Radios 1

Radios 2

interfaz St 0.0

2001:db8:7000::2/64

2001:db8:7000::3/64

Interfaz a la red interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interfaz a Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

Topología

Figura 2en este ejemplo se muestra el serie SRX dispositivos que se configurarán para AutoVPN.

Figura 2: Implementación básica de AutoVPN con iBGPImplementación básica de AutoVPN con iBGP

Automática

Para configurar AutoVPN, realice estas tareas:

En la primera sección, se describe cómo obtener certificados de CA y locales con el protocolo de inscripción de certificados simple (SCEP) en los dispositivos concentrados y radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en los radios 1:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en radios 2:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Configurando el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar el concentrador:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 2:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando el estado ICR

Purpose

Compruebe el estado ICR.

Intervención

En modo operativo, escriba el show security ike sa comando.

Efectos

El show security ike sa comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobar el estado de IPsec

Purpose

Compruebe el estado de IPsec.

Intervención

En modo operativo, escriba el show security ipsec sa comando.

Efectos

El show security ipsec sa comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.

Comprobación de los túneles IPsec de próximo salto

Purpose

Compruebe los túneles de próximos saltos IPsec.

Intervención

En modo operativo, escriba el show security ipsec next-hop-tunnels comando.

Efectos

Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.

Comprobando BGP

Purpose

Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios.

Intervención

En modo operativo, escriba el show bgp summary comando.

Ejemplo Configuración de AutoVPN con iBGP y ECMP

En este ejemplo se muestra cómo configurar dos túneles VPN de IPsec entre un concentrador AutoVPN y radios. En este ejemplo se configura iBGP con multipath de costo equivalente (ECMP) para reenviar paquetes a través de los túneles VPN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos serie SRX compatibles como concentrador y periferia AutoVPN

  • Junos OS versión 12.1 X44-D10 y posterior compatible con AutoVPN

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles VPN de IPsec.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo de inscripción de certificados simple (SCEP). Los certificados se inscriben en el concentrador y en los radios de cada túnel VPN de IPsec. Uno de los certificados para el spoke contiene el valor de unidad organizacional (UO) "SLT" en el nombre distinguido (DN); el concentrador está configurado con un ID de ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD. El otro certificado para el spoke contiene el valor DEO "SBU" en la DN; el concentrador está configurado con un ID de ICR grupo para que coincida con el valor "SBU" en el campo DE UNIDAD DE OPERACIONES.

Los radios establecen conexiones VPN de IPsec con el concentrador, lo que le permite tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador AutoVPN y los radios deben tener los mismos valores. Tabla 9 muestra las opciones utilizadas en este ejemplo.

Tabla 9: Opciones de las fases 1 y 2 para AutoVPN hub and spoke iBGP ECMP configuraciones

,

Valor

ICR propuesta:

Método de autenticación

Certificados digitales de RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Directiva de ICR:

Medio

Principalmente

Propuesta de IPsec:

Protocolo

SENSORIAL

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 10muestra las opciones configuradas en el concentrador y en los radios.

Tabla 10: AutoVPN iBGP ECMP configuración para concentradores y radios 1

,

Navegación

Radios 1

Puerta de enlace de ICR:

Dirección IP remota

hub-to-spoke-gw-1: Manera

hub-to-spoke-gw-2: Manera

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

ID. de ICR remoto

hub-to-spoke-gw-1: DN en el certificado del spoke con la cadena SLT en el campo UO

hub-to-spoke-gw-2: DN en el certificado del spoke con la cadena SBU en el campo UO

spoke-to-hub-gw-1: DN en el certificado del concentrador

spoke-to-hub-gw-2: DN en el certificado del concentrador

ID. de ICR local

DN en el certificado del concentrador

DN en el certificado del spoke

Interfaz externa

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

VIRTUALES

Enlazar interfaz

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Establecer túneles

(no configurado)

Inmediatamente durante la confirmación de configuración

La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

Topología

Figura 3en este ejemplo se muestra el serie SRX dispositivos que se configurarán para AutoVPN.

Figura 3: Implementación de AutoVPN con iBGP y ECMPImplementación de AutoVPN con iBGP y ECMP

Automática

Para configurar AutoVPN, realice estas tareas:

En la primera sección, se describe cómo obtener certificados de CA y locales con el protocolo de inscripción de certificados simple (SCEP) en los dispositivos concentrados y radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves para cada certificado.

  4. Inscriba los certificados locales.

  5. Compruebe los certificados locales.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en los radios 1:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves para cada certificado.

  4. Inscriba los certificados locales.

  5. Compruebe los certificados locales.

    La unidad organizativa (OU) mostrada en el campo asunto SLT es para local1 SBU y para Local2. Las configuraciones de ICR en el OU=SLT concentrador OU=SBU incluyen e identifican los radios.

Configurando el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar el concentrador:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación del estado de la fase 1 ICR

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de la fase 2 de IPsec.

Intervención

En modo operativo, escriba el security ipsec security-associations comando.

Efectos

El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 2 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobación de los túneles IPsec de próximo salto

Purpose

Compruebe los túneles de próximos saltos IPsec.

Intervención

En modo operativo, escriba el show security ipsec next-hop-tunnels comando.

Efectos

Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.

Comprobando BGP

Purpose

Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios.

Intervención

En modo operativo, escriba el show bgp summary comando.

Comprobar rutas aprendidas

Purpose

Compruebe que se han aprendido las rutas a los radios.

Intervención

En modo operativo, escriba el show route 60.60.60.0 detail comando.

Comprobación de la instalación de la ruta en la tabla de reenvío

Purpose

Compruebe que las rutas a los radios se han instalado en la tabla de reenvío.

Intervención

En modo operativo, escriba el show route forwarding-table matching 60.60.60.0 comando.

Ejemplo Configuración de AutoVPN con túneles de iBGP y de copia de seguridad activa

En este ejemplo se muestra cómo configurar túneles VPN de IPsec de reserva y activos entre un concentrador AutoVPN y radios. En este ejemplo se configura iBGP para reenviar el tráfico a través de los túneles VPN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos serie SRX compatibles como concentrador y periferia AutoVPN

  • Junos OS versión 12.1 X44-D10 y posterior compatible con AutoVPN

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles VPN de IPsec.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo de inscripción de certificados simple (SCEP). Los certificados se inscriben en el concentrador y en los radios de cada túnel VPN de IPsec. Uno de los certificados para el spoke contiene el valor de unidad organizacional (UO) "SLT" en el nombre distinguido (DN); el concentrador está configurado con un ID de ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD. El otro certificado para el spoke contiene el valor DEO "SBU" en la DN; el concentrador está configurado con un ID de ICR grupo para que coincida con el valor "SBU" en el campo DE UNIDAD DE OPERACIONES.

Los radios establecen conexiones VPN de IPsec con el concentrador, lo que le permite tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador AutoVPN y los radios deben tener los mismos valores. Tabla 11 muestra las opciones utilizadas en este ejemplo.

Tabla 11: Opciones de las fases 1 y 2 para AutoVPN concentradores y radios iBGP configuraciones de túnel de reserva activo

,

Valor

ICR propuesta:

Método de autenticación

Certificados digitales de RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Directiva de ICR:

Medio

Principalmente

Propuesta de IPsec:

Protocolo

SENSORIAL

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 12muestra las opciones configuradas en el concentrador y en los radios.

Tabla 12: AutoVPN IBGP configuración de túnel de reserva activa para concentradores y radios 1

,

Navegación

Radios 1

Puerta de enlace de ICR:

Dirección IP remota

hub-to-spoke-gw-1: Manera

hub-to-spoke-gw-2: Manera

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

ID. de ICR remoto

hub-to-spoke-gw-1: DN en el certificado del spoke con la cadena SLT en el campo UO

hub-to-spoke-gw-2: DN en el certificado del spoke con la cadena SBU en el campo UO

spoke-to-hub-gw-1: DN en el certificado del concentrador

spoke-to-hub-gw-2: DN en el certificado del concentrador

ID. de ICR local

DN en el certificado del concentrador

DN en el certificado del spoke

Interfaz externa

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

VIRTUALES

Enlazar interfaz

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Monitor de VPN

hub-to-spoke-vpn-1: GE-0/0/1.0 (interfaz de origen)

hub-to-spoke-vpn-2: GE-0/0/2.0 (interfaz de origen)

spoke-to-hub-1: a. \ \ (dirección IP de destino)

spoke-to-hub-2: 1.1.2.1 (IP de destino)

Establecer túneles

(no configurado)

Inmediatamente durante la confirmación de configuración

La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

Topología

Figura 4en este ejemplo se muestra el serie SRX dispositivos que se configurarán para AutoVPN.

Figura 4: Implementación de AutoVPN con iBGP y túneles de copia de seguridad activosImplementación de AutoVPN con iBGP y túneles de copia de seguridad activos

En este ejemplo, se establecen dos túneles VPN de IPsec entre el concentrador y los radios 1. La información de enrutamiento se intercambiará a través de sesiones iBGP en cada túnel. La coincidencia del prefijo más larga para la ruta a 60.60.60.0/24 es a través de la interfaz St 0.0 del concentrador. Por lo tanto, el túnel principal para la ruta se realiza a través de las interfaces St 0.0 del concentrador y de los radios 1. La ruta predeterminada se realiza a través del túnel de copia de seguridad en las interfaces St 0.1 del concentrador y los radios 1.

El control de VPN comprueba el estado de los túneles. Si hay un problema con el túnel principal (por ejemplo, la puerta de enlace de túnel remoto no es accesible), el estado del túnel cambia a desactivado y los datos destinados al 60.60.60.0/24 se redirigen a través del túnel de copia de seguridad.

Automática

Para configurar AutoVPN, realice estas tareas:

En la primera sección, se describe cómo obtener certificados de CA y locales con el protocolo de inscripción de certificados simple (SCEP) en los dispositivos concentrados y radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves para cada certificado.

  4. Inscriba los certificados locales.

  5. Compruebe los certificados locales.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en los radios 1:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves para cada certificado.

  4. Inscriba los certificados locales.

  5. Compruebe los certificados locales.

    La unidad organizativa (OU) mostrada en el campo asunto SLT es para local1 SBU y para Local2. Las configuraciones de ICR en el OU=SLT concentrador OU=SBU incluyen e identifican los radios.

Configurando el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar el concentrador:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración especificando show policy-optionslos show protocolsshow interfacescomandos show routing-options, show security ike, show security ipsec, show security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Verificación de ICR estado de la fase 1 (ambos túneles están en funcionamiento)

Purpose

Compruebe que el estado ICR la fase 1 cuando ambos túneles VPN de IPSec están en funcionamiento.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobación del estado de la fase 2 de IPsec (ambos túneles están en funcionamiento)

Purpose

Compruebe el estado de la fase 2 de IPsec cuando ambos túneles VPN de IPsec estén en funcionamiento.

Intervención

En modo operativo, escriba el security ipsec security-associations comando.

Efectos

El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 2 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Verificación de los túneles IPsec de próximo salto (ambos túneles están en funcionamiento)

Purpose

Compruebe los túneles de próximos saltos IPsec.

Intervención

En modo operativo, escriba el show security ipsec next-hop-tunnels comando.

Efectos

Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.

Verificación de BGP (ambos túneles están en la misma)

Purpose

Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios cuando ambos túneles VPN de IPsec están en el mismo puesto.

Intervención

En modo operativo, escriba el show bgp summary comando.

Comprobación de rutas aprendidas (ambos túneles están en funcionamiento)

Purpose

Compruebe que las rutas a los radios se han aprendido cuando ambos túneles están en la red. La ruta a 60.60.60.0/24 es a través de la interfaz St 0.0 y la ruta predeterminada se realiza a través de la interfaz St 0.1.

Intervención

En modo operativo, escriba el show route 60.60.60.0 comando.

En modo operativo, escriba el show route 0.0.0.0 comando.

Comprobando ICR estado de la fase 1 (el túnel primario está inactivo)

Purpose

Compruebe que el estado de la fase 1 ICR cuando el túnel principal está inactivo.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobando el estado de la fase 2 de IPsec (el túnel primario está inactivo)

Purpose

Compruebe el estado de la fase 2 de IPsec cuando el túnel principal esté inactivo.

Intervención

En modo operativo, escriba el security ipsec security-associations comando.

Efectos

El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 2 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobación de los túneles IPsec de próximo salto (el túnel primario está inactivo)

Purpose

Compruebe el túnel de próximo salto IPsec.

Intervención

En modo operativo, escriba el show security ipsec next-hop-tunnels comando.

Efectos

Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El siguiente salto debe asociarse con el nombre VPN de IPsec correcto, en este caso el túnel de VPN de copia de seguridad.

Comprobando BGP (el túnel primario está inactivo)

Purpose

Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios cuando el túnel primario está inactivo.

Intervención

En modo operativo, escriba el show bgp summary comando.

Comprobando rutas aprendidas (el túnel primario está fuera de la actividad)

Purpose

Compruebe que las rutas a los radios se han aprendido cuando el túnel principal está inactivo. Tanto la ruta a 60.60.60.0/24 como la ruta predeterminada se realiza a través de la interfaz St 0.1.

Intervención

En modo operativo, escriba el show route 60.60.60.0 comando.

En modo operativo, escriba el show route 0.0.0.0 comando.

Ejemplo Configuración de AutoVPN básicos con OSPF

En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para sitios remotos. En este ejemplo, se configura OSPF para reenviar paquetes a través de los túneles VPN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos serie SRX compatibles como AutoVPN Hub y Spokes

  • Junos OS versión 12.1 X44-D10 y posterior compatible con AutoVPN

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo se muestra la configuración de un concentrador de AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD.

Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 13 muestra las opciones utilizadas en este ejemplo.

Tabla 13: Opciones de las fases 1 y 2 de AutoVPN las configuraciones básicas de OSPF Hub y spoke

,

Valor

ICR propuesta:

Método de autenticación

Certificados digitales de RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Directiva de ICR:

Medio

Principalmente

Propuesta de IPsec:

Protocolo

SENSORIAL

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 14muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 14: Configuración de OSPF básica de AutoVPN para concentrador y todos los radios

,

Navegación

Todos los radios

Puerta de enlace de ICR:

Dirección IP remota

Manera

1.1.1.1

ID. de ICR remoto

Nombre distinguido (DN) en el certificado del radio con la cadena en el campo SLT unidad organizacional (UO)

DN en el certificado del concentrador

ID. de ICR local

DN en el certificado del concentrador

DN en el certificado del spoke

Interfaz externa

ge-0/0/1.0

Radios 1: fe-0/0/1.0

Radios 2: ge-0/0/1.0

VIRTUALES

Enlazar interfaz

st0.0

st0.0

Establecer túneles

(no configurado)

Inmediatamente durante la confirmación de configuración

Tabla 15muestra las opciones de configuración que son diferentes en cada radio.

Tabla 15: Comparación entre las configuraciones básicas del OSPF radios

,

Radios 1

Radios 2

interfaz St 0.0

10.10.10.2/24

10.10.10.3/24

Interfaz a la red interna

fe-0.0/4.0: 60.60.60.1/24

fe-0.0/4.0: 70.70.70.1/24

Interfaz a Internet

fe-0/0/1.0: 2.2.2.1/30

ge-0/0/1.0: 3.3.3.1/30

La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

Topología

Figura 5en este ejemplo se muestra el serie SRX dispositivos que se configurarán para AutoVPN.

Figura 5: Implementación de AutoVPN básica con OSPFImplementación de AutoVPN básica con OSPF

Automática

Para configurar AutoVPN, realice estas tareas:

En la primera sección, se describe cómo obtener certificados de CA y locales con el protocolo de inscripción de certificados simple (SCEP) en los dispositivos concentrados y radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en los radios 1:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en radios 2:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Configurando el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar el concentrador:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 2:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación del estado de la fase 1 ICR

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de la fase 2 de IPsec.

Intervención

En modo operativo, escriba el security ipsec security-associations comando.

Efectos

El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.

Comprobación de los túneles IPsec de próximo salto

Purpose

Compruebe los túneles de próximos saltos IPsec.

Intervención

En modo operativo, escriba el show security ipsec next-hop-tunnels comando.

Efectos

Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.

Comprobando OSPF

Purpose

Compruebe que OSPF hace referencia a las direcciones IP st0 de las interfaces de los radios.

Intervención

En modo operativo, escriba el show ospf neighbor comando.

Comprobar rutas aprendidas

Purpose

Compruebe que se han aprendido las rutas a los radios.

Intervención

En modo operativo, escriba el show route 60.60.60.0 comando.

En modo operativo, escriba el show route 70.70.70.0 comando.

Ejemplo Configurando AutoVPN con OSPFv3 para el tráfico de IPv6

En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para sitios remotos. En este ejemplo, se configura el entorno de AutoVPN para IPv6 utilizando el OSPFv3 para reenviar paquetes a través de los túneles VPN.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos serie SRX compatibles como AutoVPN Hub y Spokes.

  • Junos OS Release 18.1 R1 y versiones posteriores.

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

Este ejemplo muestra la configuración de una AutoVPN con el protocolo de enrutamiento OSPFv3 en el concentrador y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD.

Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 16 muestra las opciones utilizadas en este ejemplo.

Tabla 16: Opciones de fase 1 y fase 2 para AutoVPN Hub y Spoke OSPFv3 configuraciones básicas

,

Valor

ICR propuesta:

Método de autenticación

Certificados digitales de RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticación

SHA-384

Algoritmo de cifrado

AES 256 CBC

Directiva de ICR:

Medio

Principalmente

Propuesta de IPsec:

Protocolo

SENSORIAL

Segundos de duración

3000

Algoritmo de cifrado

AES 256 GCM

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

19

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Tabla 17muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 17: AutoVPN OSPFv3 configuración para concentrador y todos los radios

,

Navegación

Todos los radios

Puerta de enlace de ICR:

Dirección IP remota

Manera

2001:db8:2000::1

ID. de ICR remoto

Nombre distinguido (DN) en el certificado del radio con la cadena en el campo SLT unidad organizacional (UO)

DN en el certificado del concentrador

ID. de ICR local

DN en el certificado del concentrador

DN en el certificado del spoke

Interfaz externa

ge-0/0/0

Radios 1: ge-0/0/0.0

Radios 2: ge-0/0/0.0

VIRTUALES

Enlazar interfaz

st0.1

st0.1

Establecer túneles

(no configurado)

Inmediatamente durante la confirmación de configuración

Tabla 18muestra las opciones de configuración que son diferentes en cada radio.

Tabla 18: Comparación entre las configuraciones de radios OSPFv3

,

Radios 1

Radios 2

interfaz St 0.1

2001:db8:7000::2/64

2001:db8:7000::3/64

Interfaz a la red interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interfaz a Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

Topología

Figura 6en este ejemplo se muestra el serie SRX dispositivos que se configurarán para AutoVPN.

Figura 6: Implementación básica de AutoVPN con OSPFv3Implementación básica de AutoVPN con OSPFv3

Automática

Para configurar AutoVPN, realice estas tareas:

En la primera sección, se describe cómo obtener certificados de CA y locales con el protocolo de inscripción de certificados simple (SCEP) en los dispositivos concentrados y radiales.

Inscribir certificados de dispositivo con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en los radios 1:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en radios 2:

  1. Configure la entidad emisora de certificados.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado.

  3. Generar un par de claves.

  4. Inscriba el certificado local.

  5. Compruebe el certificado local.

    La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el concentrador incluye ou=SLT identificar los radios.

Configurando el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar el concentrador:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 1:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar radios 2:

  1. Configurar interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configurar zonas.

  6. Configure la Directiva de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración show interfacesespecificando los comandos show security ike, show security ipsecshow protocols, show security zonesshow routing-options, show security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando el estado ICR

Purpose

Compruebe el estado ICR.

Intervención

En modo operativo, escriba el show security ike sa comando.

Efectos

El show security ike sa comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobar el estado de IPsec

Purpose

Compruebe el estado de IPsec.

Intervención

En modo operativo, escriba el show security ipsec sa comando.

Efectos

El show security ipsec sa comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.

Comprobación de los túneles IPsec de próximo salto

Purpose

Compruebe los túneles de próximos saltos IPsec.

Intervención

En modo operativo, escriba el show security ipsec next-hop-tunnels comando.

Efectos

Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.

Comprobando OSPFv3

Purpose

Compruebe que OSPFv3 hace referencia a las direcciones IP st0 de las interfaces de los radios.

Intervención

En modo operativo, escriba el show ospf3 neighbor detail comando.

Navegación

Radios 1:

Radios 2:

Ejemplo Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico

En este ejemplo se muestra cómo configurar los selectores de tráfico, en lugar de los protocolos de enrutamiento dinámico, para reenviar paquetes a través de un túnel VPN en una implementación AutoVPN. Cuando se configuran los selectores de tráfico, la interfaz de túnel seguro (st0) debe estar en el modo punto a punto. Los selectores de tráfico se configuran tanto en los dispositivos radiales como en los concentrados.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos serie SRX conectados y configurados en un clúster del chasis. El clúster del chasis es el concentrador AutoVPN.

  • Un dispositivo serie SRX configurado como radio de AutoVPN.

  • Junos OS versión 12.3 X48-D10 o posterior.

  • Certificados digitales inscritos en el concentrador y los dispositivos radiales que permiten que los dispositivos se autentiquen entre sí.

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales. Consulte Understanding local Certificates requests.

  • Inscriba los certificados digitales en cada dispositivo. Consulte ejemplo: Carga manualde CA y certificados locales.

Descripción general

En este ejemplo, los selectores de tráfico se configuran en el concentrador y los radios de AutoVPN. Solo el tráfico que se ajusta al selector de tráfico configurado se reenvía a través del túnel. En el concentrador, el selector de tráfico está configurado con la dirección IP local 192.0.0.0/8 y con la dirección IP remota 172.0.0.0/8. En los radios, el selector de tráfico se configura con la dirección IP local 172.0.0.0/8 y con la dirección IP remota 192.0.0.0/8.

Las direcciones IP del selector de tráfico configuradas en los radios pueden ser un subconjunto de las direcciones IP del selector de tráfico configuradas en el concentrador. Esto se conoce como el selector de tráfico coincidencia flexible.

Algunas de las fases 1 y 2 ICR opciones de túnel configuradas en los concentradores y radios de AutoVPN deben tener los mismos valores. Tabla 19 muestra los valores utilizados en este ejemplo:

Tabla 19: Opciones de fase 1 y fase 2 para AutoVPN concentradores y radios con selectores de tráfico

,

Valor

ICR propuesta:

Método de autenticación

firmas de RSA

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

sha-1

Algoritmo de cifrado

aes-256-cbc

Directiva de ICR:

Medio

principalmente

Certificado

certificado local

Puerta de enlace de ICR:

Manera

comodín de nombre distintivo de DC = Common_component

Tipo de usuario ICR

ID. de ICR de grupo

Identidad local

nombre completo

Versi

v1-only

Propuesta de IPsec:

Protocolo

sensorial

Algoritmo de autenticación

hmac-sha1-96

Algoritmo de cifrado

aes-192-cbc

Cesiones

3600 segundos

150.000 kilobytes

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

group5

Topología

Figura 7muestra los dispositivos serie SRX que se configurarán para este ejemplo.

Figura 7: AutoVPN con los selectores de tráfico AutoVPN con los selectores de tráfico

Automática

Configurando el concentrador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

A partir de Junos OS Release 15.1 X49-D120, puede configurar la opción reject-duplicate-connection de CLI en eledit security ike gateway gateway-name dynamicnivel de jerarquía [] para conservar una sesión de túnel existente y rechazar las solicitudes de negociación para un nuevo túnel con el mismo ID ICR. De forma predeterminada, un túnel existente se desgarrará cuando se establezca un nuevo túnel con el mismo ID de ICR. Esta reject-duplicate-connection opción solo es compatible cuando ike-user-type group-ike-id o ike-user-type shared-ike-id está configurada para la puerta de enlace de ICR; la aaa access-profile profile-name configuración no es compatible con esta opción.

Utilice la opción reject-duplicate-connection de CLI únicamente cuando esté seguro de que reestablishment de un nuevo túnel con el mismo ID de ICR debe ser rechazado.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el concentrador:

  1. Configurar interfaces.

  2. Configure las opciones de fase 1.

  3. Configure las opciones de fase 2.

  4. Configurar la información del certificado.

  5. Configurar zonas de seguridad.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security ikeescriba show security ipseclos show security pkicomandos show security zones,, show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de radios

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el concentrador:

  1. Configurar interfaces.

  2. Configure las opciones de fase 1.

  3. Configure las opciones de fase 2.

  4. Configurar la información del certificado.

  5. Configurar zonas de seguridad.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security ikeescriba show security ipseclos show security pkicomandos show security zones,, show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación de túneles

Purpose

Compruebe que los túneles se establecen entre el concentrador y los radios de AutoVPN.

Intervención

Desde el modo operativo, escriba show security ike security-associations los show security ipsec security-associations comandos y en el concentrador.

Desde el modo operativo, escriba show security ike security-associations los show security ipsec security-associations comandos y en el radio.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. El concentrador muestra un túnel activo hacia las radios mientras que el radio muestra un túnel activo hacia el concentrador.

Si no se enumera ninguna SA para ICR fase 1, se produjo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Si no se enumera ninguna SA para ICR fase 2, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 2 los parámetros de propuesta deben coincidir en el concentrador y los radios.

Comprobación de los selectores de tráfico

Purpose

Compruebe los selectores de tráfico.

Intervención

Desde el modo operativo, escriba show security ipsec traffic-selector interface-name st0.1 el comando en el concentrador.

Desde el modo operativo, escriba show security ipsec traffic-selector interface-name st0.1 el comando en el radio.

Efectos

Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajusta a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el iniciador y el respondedor (el concentrador serie SRX).

Ejemplo Cómo garantizar la disponibilidad del túnel VPN con AutoVPN y los selectores de tráfico

Georedundancia es la implementación de varios sitios geográficamente distantes para que el tráfico pueda seguir fluyendo a través de una red de proveedores incluso si se produce una interrupción del suministro eléctrico, un desastre natural o cualquier otro evento catastrófico que afecte a un sitio. En un red de proveedor móvil, se pueden conectar varios dispositivos del nodo B (eNodeB) que se hayan evolucionado a la red central a través de puertas de enlace VPN georedundantes en dispositivos serie SRX. Las rutas alternativas a los dispositivos eNodeB se distribuyen a la red central mediante un protocolo de enrutamiento dinámico.

En este ejemplo, se configuran concentradores de AutoVPN con varios selectores de tráfico en serie SRX dispositivos para garantizar que existen puertas de enlace de VPN IPsec georedundantes para los dispositivos de eNodeB. La inserción automática de rutas (ARI) se utiliza para insertar rutas automáticamente hacia los dispositivos eNodeB en las tablas de encaminamiento de los concentradores. Luego, se distribuyen rutas ARI a la red principal del proveedor a través de BGP.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos serie SRX conectados y configurados en un clúster del chasis. El clúster del chasis es AutoVPN del concentrador A.

  • Un dispositivo serie SRX configurado como concentrador AutoVPN B.

  • Junos OS versión 12.3 X48-D10 o posterior.

  • dispositivos eNodeB que pueden establecer túneles VPN de IPsec con concentradores de AutoVPN. los dispositivos eNodeB son proveedores de equipos de red de terceros que inician un túnel VPN con concentradores AutoVPN.

  • Certificados digitales inscritos en los concentradores y los dispositivos de eNodeB que permiten que los dispositivos se autentiquen entre sí.

Antes de empezar:

  • Obtenga la dirección de la entidad EMISORa de certificados y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales. Consulte Understanding local Certificates requests.

  • Inscriba los certificados digitales en cada dispositivo. Consulte ejemplo: Carga manualde CA y certificados locales.

En este ejemplo se utiliza el protocolo de enrutamiento dinámico BGP para anunciar rutas hacia los dispositivos eNodeB a la red central.

Descripción general

En este ejemplo, dos concentradores de AutoVPN se configuran con varios selectores de tráfico en serie SRX dispositivos para proporcionar puertas de enlace de VPN IPsec georedundantes a los dispositivos de eNodeB. ARI inserta rutas automáticamente a los dispositivos eNodeB en las tablas de enrutamiento de los concentradores. Luego, se distribuyen rutas ARI a la red principal del proveedor a través de BGP.

Algunas de las fases 1 y 2 ICR opciones de túnel configuradas en los concentradores AutoVPN y eNodeB deben tener los mismos valores. Tabla 20 muestra los valores utilizados en este ejemplo:

Tabla 20: Opciones de las fases 1 y 2 de los concentradores AutoVPN georedundantes

,

Valor

ICR propuesta:

Método de autenticación

firmas de RSA

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

sha-1

Algoritmo de cifrado

aes-256-cbc

Directiva de ICR:

Certificado

certificado local

Puerta de enlace de ICR:

Manera

comodín de nombre distintivo de DC = Common_component

Tipo de usuario ICR

ID. de ICR de grupo

Detección de pares de tráfico muerto

sonda-inactivo-túnel

Identidad local

nombre completo

Versi

v2-only

Propuesta de IPsec:

Protocolo

sensorial

Algoritmo de autenticación

hmac-sha1-96

Algoritmo de cifrado

aes-256-cbc

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

group5

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad. Para simplificar, la configuración en el serie SRX dispositivos permite todo tipo de tráfico entrante; Esta configuración no es recomendable para las implementaciones de producción.

Topología

Figura 8muestra los dispositivos serie SRX que se configurarán para este ejemplo.

Figura 8: Puertas de enlace interredundantes IPSec VPN para dispositivos eNodeBPuertas de enlace interredundantes IPSec VPN para dispositivos eNodeB

Automática

Configuración del concentrador A

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el concentrador A:

  1. Configurar interfaces.

  2. Configure las opciones de fase 1.

  3. Configure las opciones de fase 2.

  4. Configure el protocolo de enrutamiento BGP.

  5. Configure las opciones de enrutamiento.

  6. Configurar la información del certificado.

  7. Configurar zonas de seguridad.

Resultados

Desde el modo de configuración, especifique los show interfaces show security ikeshow security ipseccomandos,, show protocols bgpshow policy-optionsshow security pkishow security zones,, y y show security policies , para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurando el concentrador B

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el concentrador B:

  1. Configurar interfaces.

  2. Configure las opciones de fase 1.

  3. Configure las opciones de fase 2.

  4. Configure el protocolo de enrutamiento BGP.

  5. Configure las opciones de enrutamiento.

  6. Configurar la información del certificado.

  7. Configurar zonas de seguridad.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces show security ike, show security ipsecescriba show protocols bgplos show security pkicomandos show security zones,, show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del eNodeB (configuración de ejemplo)

Procedimiento paso a paso
  1. La configuración eNodeB de este ejemplo se proporciona como referencia. La información detallada de la configuración eNodeB queda fuera del alcance de este documento. La configuración de eNodeB debe incluir la siguiente información:

    • Certificado local (X. 509v3) e información de identidad del ICR

    • serie SRX ICR información de identidad y dirección IP pública

    • Propuestas de las fases 1 y 2 que coincidan con las configuraciones de los concentradores de serie SRX

Resultados

Los dispositivos eNodeB de este ejemplo utilizan strongSwan software de código abierto para conexiones VPN basadas en IPsec:

Comproba

Confirme que la configuración funciona correctamente.

Verificación de los túneles en los concentradores de AutoVPN

Purpose

Compruebe que se han establecido los túneles entre el concentrador AutoVPN y los dispositivos eNodeB.

Intervención

Desde el modo operativo, escriba show security ike security-associations los show security ipsec security-associations comandos y en el concentrador.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. El concentrador muestra dos túneles activos, uno a cada dispositivo de eNodeB.

Si no se enumera ninguna SA para ICR fase 1, se produjo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los dispositivos eNodeB.

Si no se enumera ninguna SA para ICR fase 2, se produjo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en los dispositivos concentrador y eNodeB.

Comprobación de los selectores de tráfico

Purpose

Compruebe los selectores de tráfico.

Intervención

En modo operativo, escriba el show security ipsec traffic-selector interface-name st0.1 comando.

Efectos

Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajusta a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el iniciador y el respondedor (el concentrador serie SRX).

Verificación de rutas ARI

Purpose

Compruebe que las rutas ARI se agregan a la tabla de enrutamiento.

Intervención

En modo operativo, escriba el show route comando.

Efectos

La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y los hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota configurada se inserta como ruta en la instancia de enrutamiento asociada con la interfaz st0 que está enlazada a la VPN.

Las rutas estáticas de los eNodeB destinos 30.1.1.0/24 y 50.1.1.0/24 se agregan a la tabla de enrutamiento del concentrador serie SRX. Estas rutas se pueden alcanzar a través de la interfaz St 0.1.

Ejemplo Configuración de AutoVPN con clave previamente compartida

En este ejemplo, se muestra cómo configurar diferentes ICR clave previamente compartida utilizada por la puerta de enlace VPN para autenticar el par remoto. De forma similar, para configurar el mismo ICR clave previamente compartida utilizada por la puerta de enlace VPN para autenticar el par remoto.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • MX240, MX480 y MX960 con MX-SPC3 y Junos OS versión 21.1R1 que admiten AutoVPN
  • o la línea de dispositivos SRX5000 con SPC3 y Junos OS versión 21.2R1 que admiten AutoVPN
  • o vSRX y Junos OS versión 21.2R1 que admiten AutoVPN

Configure diferentes ICR clave previamente compartida

Para configurar diferentes ICR clave previamente compartida que la puerta de enlace VPN utiliza para autenticar el par remoto, realice estas tareas.

  1. Configure el semillas previamente compartida para ICR política en el dispositivo con el concentrador AutoVPN.

    o

    Por ejemplo:

    o

  2. Mostrar el pre-shared key para par remoto mediante el nombre de puerta de enlace y el id de usuario.

    Por ejemplo:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Configure la PSK generada ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" en el paso 2)en la política ike en el dispositivo par remoto.

    Por ejemplo:

  4. (Opcional) Para omitir la validación de ID de ICR y permitir todos los tipos de ID de ICR, configure la instrucción de configuración en el nivel de jerarquía general-ikeid [edit security ike gateway gateway_name dynamic] en la puerta de enlace.

Conjunto

Desde el modo de configuración, ingrese el comando show security para confirmar su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Configure la misma ICR clave previamente compartida

Para configurar las mismas ICR clave previamente compartida que la puerta de enlace VPN utiliza para autenticar el par remoto, realice estas tareas.

  1. Configure la política pre-shared-key común para ike en el dispositivo con el concentrador AutoVPN.

    Por ejemplo:

  2. Configure lo común pre-shared-key en la política de ike para dispositivos de par remoto.

    Por ejemplo:

  3. (Opcional) Para omitir la validación de ID de ICR y permitir todos los tipos de ID de ICR, configure la instrucción de configuración en el nivel de jerarquía general-ikeid [edit security ike gateway gateway_name dynamic] en la puerta de enlace.

Conjunto

Desde el modo de configuración, ingrese el comando show security para confirmar su configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Tabla de historial de versiones
Liberación
Descripción
17.4R1
A partir de Junos OS Release 17.4 R1, la dirección IPv6 se soporta en AutoVPN.
17.4R1
A partir de Junos OS versión 17.4 R1, AutoVPN Networks que utilizan interfaces de túnel seguro en modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para los interlocutores ICR.
15.1X49-D120
A partir de Junos OS Release 15.1 X49-D120, puede configurar la opción reject-duplicate-connection de CLI en eledit security ike gateway gateway-name dynamicnivel de jerarquía [] para conservar una sesión de túnel existente y rechazar las solicitudes de negociación para un nuevo túnel con el mismo ID ICR.