Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN en dispositivos hub-and-Spoke

AutoVPN admite un agregador VPN IPsec (conocido como concentrador) que sirve como un único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un hub para radios actuales y futuros.

Descripción de AutoVPN

AutoVPN admite un agregador VPN IPsec (conocido como concentrador) que sirve como un único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN permite a los administradores de red configurar un hub para radios actuales y futuros. No se requieren cambios de configuración en el hub cuando se agregan o eliminan dispositivos radiales, lo que permite a los administradores flexibilidad en la administración de despliegues de red a gran escala.

Modos de túnel seguro

AutoVPN se admite en VPN IPsec basadas en rutas. Para VPN basadas en rutas, configure una interfaz de túnel seguro (st0) y la enlazará a un túnel VPN IPsec. las interfaces st0 de las redes AutoVPN se pueden configurar en uno de los dos modos:

  • Modo punto a punto: de forma predeterminada, una interfaz st0 configurada en el nivel de jerarquía [edit interfaces st0 unit x] está en modo punto a punto. A partir de Junos OS versión 17.4R1, la dirección IPv6 se admite en AutoVPN.

  • Modo punto a multipunto: en este modo, la multipoint opción se configura en el nivel jerárquico [edit interfaces st0 unit x] tanto en el concentrador autoVPN como en las interfaces radiales st0 en el concentrador y los radios se deben numerar y la dirección IP configurada en un radio debe existir en la subred de interfaz st0 del concentrador.

Tabla 1 compara los modos de interfaz de túnel seguro punto a punto y punto a multipunto de AutoVPN.

Tabla 1: Comparación entre los modos de túnel seguro punto a punto y punto a multipunto de AutoVPN

Modo punto a punto

Modo punto a multipunto

Compatible con IKEv1 o IKEv2.

Compatible con IKEv1 o IKEv2.

Admite tráfico IPv4 e IPv6.

Es compatible con IPv4 o IPv6.

Selectores de tráfico

Protocolos de enrutamiento dinámico (OSPF, OSPFv3 e iBGP)

Detección de pares muertos

Detección de pares muertos

Permite que los dispositivos radiales sean de la serie SRX o de terceros.

Este modo solo se admite con dispositivos de la serie SRX.

autentificación

La autenticación compatible para concentradores y radios AutoVPN es certificados de infraestructura de clave pública (PKI) X.509. El tipo de usuario de IKE de grupo configurado en el concentrador permite especificar cadenas para que coincidan con el campo de asunto alternativo en certificados spoke. También se pueden especificar coincidencias parciales para los campos de asunto en certificados spoke. Consulte Descripción de la autenticación radial en las implementaciones de AutoVPN.

A partir de Junos OS versión 21.2R1, la línea de dispositivos SRX5000 con tarjeta SPC3 y vSRX que ejecutan proceso iked admite AutoVPN con clave previamente compartida. La línea de dispositivos SRX5000 con una tarjeta SPC3 y vSRX solo admite AutoVPN PSK si el paquete junos-ike está instalado.

Apoyamos AutoVPN con las siguientes dos opciones:

  • PSK semilla de VPN automática: Varios pares que se conectan a la misma puerta de enlace tienen una clave previamente compartida diferente.
  • PSK compartido de VPN automática: Varios pares que se conectan a la misma puerta de enlace que tienen la misma clave previamente compartida.

El PSK semilla es diferente del PSK no semilla (es decir, el mismo PSK compartido). PSK semilla utiliza la clave maestra para generar el PSK compartido para el par. Por lo tanto, cada par tendrá un PSK diferente que se conecte a la misma puerta de enlace. Por ejemplo: Considere una situación en la que el par 1 con el ID de IKE user1@juniper.net y el par 2 con ID de IKE user2@juniper.net intenta conectarse a la puerta de enlace. En este caso, la puerta de enlace que está configurada como HUB_GW que contiene la clave maestra configurada como ThisIsMySecretPreSharedkey tendrá el PSK diferente de la siguiente manera:

Par 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

Par 2: 3db8385746f3d1e639435a882579a9f28464e5c7

Esto significa que para diferentes usuarios con id de usuario diferente y la misma clave maestra generará una clave diferente o única previamente compartida.

Puede usar o seeded-pre-shared-keypre-shared-key para PSK de VPN automática:

  • Diferentes claves previamente compartidas: seeded-pre-shared-key Si se establece, la puerta de enlace VPN utiliza una clave IKE previamente compartida diferente para autenticar a cada par remoto. Las claves previamente compartidas del par se generan mediante el master-key conjunto en la puerta de enlace IKE y se comparten entre los pares.

    Para permitir que la puerta de enlace VPN use una clave previamente compartida (PSK) de IKE diferente para autenticar a cada par remoto, utilice los nuevos comandos seeded-pre-shared-key ascii-text de CLI o seeded-pre-shared-key hexadecimal bajo el [edit security ike policy policy_name] nivel de jerarquía.

    Este comando es mutuamente exclusivo con pre-shared-key comando bajo la misma jerarquía.

    Consulte la política.

  • Clave compartida/misma previamente compartida: Si pre-shared-key-type no está configurado, se considera que el PSK se comparte. La puerta de enlace VPN usa la misma clave previamente compartida de ICR para autenticar a todos los pares remotos.

    Para permitir que la puerta de enlace VPN use el mismo PSK de IKE para autenticar a todos los pares remotos, utilice los comandos pre-sharedkey ascii-text de CLI existentes o pre-shared-key hexadecimal.

En la puerta de enlace VPN, puede omitir la validación del ID de IKE mediante la general-ikeid instrucción de configuración en el [edit security ike gateway gateway_name dynamic] nivel de jerarquía. Si esta opción está configurada, durante la autenticación del par remoto, la puerta de enlace VPN permite cualquier conexión de ID de IKE remota. Consulte general-ikeid.

La línea de dispositivos SRX5000 con tarjeta SPC3 y vSRX que ejecutan iked admite los siguientes modos de IKE:

Tabla 2: Soporte de AutoVPN PSK

Modo ICR

Línea de dispositivos SRX5000 con tarjeta SPC3 y vSRX que ejecutan proceso iked

PSK compartida

Semilla-PSK

IKEv2

IKEv2 con cualquier-remote-id

Modo agresivo IKEv1

Modo agresivo IKEv1 con any-remote-id/general-ikeid

Modo principal IKEv1

No

Modo principal IKEv1 con cualquier id remoto/general-ikeid

No

Consulte Ejemplo: Configuración de AutoVPN con clave previamente compartida.

Configuración y administración

AutoVPN se configura y administra en dispositivos de la serie SRX mediante la CLI. Se pueden configurar varios concentradores AutoVPN en un solo dispositivo serie SRX. El número máximo de radios admitidos por un concentrador configurado es específico del modelo del dispositivo de la serie SRX.

Descripción de las limitaciones de AutoVPN

No se admiten las siguientes funciones para AutoVPN:

  • No se admiten VPN basadas en políticas.

  • El protocolo de enrutamiento dinámico RIP no se admite con túneles AutoVPN.

  • No se admiten claves manuales ni IKE de clave automática con claves previamente compartidas.

  • No se admite la configuración de enlace de túnel estático de próximo salto (NHTB) en el concentrador para radios.

  • No se admite la multidifusión.

  • El tipo de usuario del ID de IKE del grupo no se admite con una dirección IP como ID de IKE.

  • Cuando se utiliza el tipo de usuario del ID de IKE del grupo, el ID de IKE no debe superponerse con otras puertas de enlace IKE configuradas en la misma interfaz externa.

Descripción de AutoVPN con selectores de tráfico

Los concentradores AutoVPN se pueden configurar con varios selectores de tráfico para proteger el tráfico a los radios. Esta función ofrece las siguientes ventajas:

  • Una sola configuración de VPN puede admitir muchos pares diferentes.

  • Los pares VPN pueden ser dispositivos que no son de la serie SRX.

  • Un solo par puede establecer varios túneles con la misma VPN.

  • Se puede admitir un número mayor de túneles que con AutoVPN con protocolos de enrutamiento dinámico.

A partir de Junos OS versión 17.4R1, las redes AutoVPN que utilizan interfaces de túnel seguras en modo punto a punto admiten direcciones IPv6 para selectores de tráfico y para pares IKE.

Cuando se establece el túnel de concentrador a radio, el concentrador utiliza la inserción automática de ruta (ARI), conocida en versiones anteriores como inserción de ruta inversa (RRI), para insertar la ruta en el prefijo radial en su tabla de enrutamiento. A continuación, la ruta ARI se puede importar a protocolos de enrutamiento y distribuirse a la red central.

El AutoVPN con selectores de tráfico se puede configurar con la interfaz de túnel seguro (st0) en modo punto a punto para IKEv1 y IKEv2.

Los protocolos de enrutamiento dinámico no se admiten en interfaces st0 cuando se configuran los selectores de tráfico.

Tenga en cuenta las siguientes advertencias al configurar AutoVPN con selectores de tráfico:

  • Los protocolos de enrutamiento dinámico no se admiten con selectores de tráfico con interfaces st0 en modo punto a punto.

  • La carga de configuración de VPN de detección automática y IKEv2 no se puede configurar con AutoVPN con selectores de tráfico.

  • Los radios pueden ser dispositivos que no son de la serie SRX; sin embargo, tenga en cuenta las siguientes diferencias:

    • En IKEv2, un radio de la serie SRX puede proponer varios selectores de tráfico en una sola negociación sa. Esto no se admite en dispositivos de la serie SRX y se rechaza la negociación.

    • Un radio de la serie SRX no puede identificar puertos o protocolos específicos para el uso del selector de tráfico. Los puertos y protocolos no se admiten con selectores de tráfico en dispositivos de la serie SRX y se rechaza la negociación.

Descripción de la autenticación spoke en las implementaciones de AutoVPN

En las implementaciones de AutoVPN, el concentrador y los dispositivos radiales deben tener certificados PKI X.509 válidos cargados. Puede usar el show security pki local-certificate detail comando para mostrar información sobre los certificados cargados en un dispositivo.

En este tema se trata la configuración en el concentrador que permite que los radios se autentifiquen y se conecten al concentrador:

Configuración de ID de IKE de grupo en el concentrador

La función de ID de IKE de grupo permite que varios dispositivos radiales compartan una configuración de IKE en el concentrador. La identificación del titular del certificado, en los campos de asunto o asunto alternativo en el certificado X.509 de cada radio, debe contener una parte que sea común a todos los radios; la parte común de la identificación del certificado se especifica para la configuración de IKE en el concentrador.

Por ejemplo, el ID example.net de IKE se puede configurar en el concentrador para identificar radios con los nombres de device1.example.nethost , device2.example.nety device3.example.net. El certificado de cada radio debe contener una identidad de nombre de host en el campo de asunto alternativo con example.net en la parte más derecha del campo; por ejemplo, device1.example.net. En este ejemplo, todos los radios utilizan esta identidad de nombre de host en su carga de ID de IKE. Durante la negociación de IKE, el ID de IKE de un radio se utiliza para hacer coincidir la parte común de la identidad de IKE par configurada en el concentrador. Un certificado válido autentica el radio.

La parte común de la identificación del certificado puede ser una de las siguientes:

  • Un nombre de host parcial en la parte derecha del campo de asunto alternativo del certificado, por ejemplo example.net.

  • Una dirección de correo electrónico parcial en la parte derecha del campo de asunto alternativo del certificado, por ejemplo @example.net.

  • Una cadena de contenedor, un conjunto de comodines o ambos para que coincidan con los campos de asunto del certificado. Los campos de asunto contienen detalles del titular del certificado digital en formato de nombre distinguido (DN) de notación de sintaxis abstracta (ASN.1). Los campos pueden incluir organización, unidad organizativa, país, localidad o nombre común.

    Para configurar un ID de IKE de grupo para que coincida con campos de asunto en certificados, puede especificar los siguientes tipos de coincidencias de identidad:

    • Contenedor: el concentrador autentica el ID de IKE del radio si los campos de asunto del certificado del radio coinciden exactamente con los valores configurados en el concentrador. Se pueden especificar varias entradas para cada campo de asunto (por ejemplo, ou=eng,ou=sw). El orden de los valores de los campos debe coincidir.

    • Comodín: el concentrador autentica el ID de IKE del radio si los campos del asunto del certificado del radio coinciden con los valores configurados en el concentrador. La coincidencia de comodín solo admite un valor por campo (por ejemplo, ou=eng o ou=sw pero no ou=eng,ou=sw). El orden de los campos es intrascendente.

En el siguiente ejemplo, se configura un ID de IKE de grupo con el nombre de host example.net parcial en el campo de asunto alternativo del certificado.

En este ejemplo, example.net es la parte común de la identificación del nombre de host utilizada para todos los radios. Todos los certificados X.509 en los radios deben contener una identidad de nombre de host en el campo de asunto alternativo con example.net en la parte más derecha. Todos los radios deben usar la identidad del nombre de host en su carga de ID de IKE.

En el siguiente ejemplo, se configura un ID de IKE de grupo con caracteres comodín para que coincida con los valores sales de la unidad organizativa y example en los campos de asunto de la organización del certificado.

En este ejemplo, los campos ou=sales,o=example son la parte común del campo subject en los Certificados esperados de los radios. Durante la negociación de IKE, si un radio presenta un certificado con los campos cn=alice,ou=sales,o=example de asunto en su certificado, la autenticación se realiza correctamente y se establece el túnel. Si un radio presenta un certificado con los campos cn=thomas,ou=engineer,o=example de asunto de su certificado, el concentrador rechaza el certificado como debe ser la unidad de salesorganización.

Exclusión de una conexión radial

Para excluir un radio determinado de la conexión al concentrador, se debe revocar el certificado de ese radio. El concentrador debe recuperar la lista de revocación de certificados (CRL) más reciente de la CA que contiene el número de serie del certificado revocado. A continuación, el concentrador rechazará una conexión VPN del radio revocado. Hasta que la CRL más reciente esté disponible en el concentrador, es posible que el concentrador continúe estableciendo un túnel desde el radio revocado. Para obtener más información, consulte Descripción del protocolo de estado de certificado en línea y las listas de revocación de certificados y Descripción de los perfiles de autoridad de certificación.

Descripción general de la configuración de AutoVPN

Los siguientes pasos describen las tareas básicas para configurar AutoVPN en dispositivos radiales y concentradores. El concentrador AutoVPN se configura una vez para todos los radios actuales y nuevos.

Para configurar el concentrador AutoVPN:

  1. Inscríbase un certificado de CA y el certificado local en el dispositivo.
  2. Cree una interfaz de túnel seguro (st0) y configúrela en modo punto a multipunto.
  3. Configure una sola política de IKE.
  4. Configure una puerta de enlace IKE con un ID de IKE de grupo que sea común a todos los radios.
  5. Configure una sola política IPsec y UNA VPN.
  6. Configure un protocolo de enrutamiento dinámico.

Para configurar un dispositivo radial autoVPN serie SRX:

  1. Inscríbase un certificado de CA y el certificado local en el dispositivo.

  2. Cree una interfaz st0 y configúrela en modo punto a multipunto.

  3. Configure una política IKE para que coincida con la política IKE configurada en el concentrador.

  4. Configure una puerta de enlace IKE con un ID para que coincida con el ID de IKE del grupo configurado en el concentrador.

  5. Configure una política IPsec para que coincida con la política IPsec configurada en el concentrador.

  6. Configure un protocolo de enrutamiento dinámico.

Ejemplo: Configuración de AutoVPN básico con iBGP

En este ejemplo, se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, luego, configure dos radios para que actúen como túneles a sitios remotos. En este ejemplo, se configura iBGP para reenviar paquetes a través de los túneles VPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos de la serie SRX compatibles como concentradores y radios AutoVPN

  • Junos OS versión 12.1X44-D10 y posteriores que admiten AutoVPN

Antes de comenzar:

  • Obtenga la dirección de la autoridad de certificación (CA) y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN. Para obtener más información acerca de los requisitos específicos de un protocolo de enrutamiento dinámico, consulte descripción general de los protocolos de enrutamiento.

Descripción general

En este ejemplo, se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo de unidad organizativa.

Los radios establecen conexiones VPN IPsec al concentrador, lo que les permite comunicarse entre sí, así como acceder a los recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 3 muestra las opciones utilizadas en este ejemplo.

Tabla 3: Opciones de fase 1 y fase 2 para configuraciones de concentrador y radio autoVPN

Opción

valor

Propuesta de ICR:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Política de ICR:

Modo

Principal

Propuesta de IPsec:

Protocolo

ESP

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Política IPsec:

Grupo de confidencialidad directa perfecta (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 4 muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 4: Configuración de AutoVPN para hub y todos los radios

Opción

Hub

Todos los radios

Puerta de enlace ICR:

Dirección IP remota

Dinámica

1.1.1.1

ID de IKE remoto

Nombre distinguido (DN) en el certificado del radio con la cadena SLT en el campo de unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

ge-0/0/1.0

Radio 1: fe-0/0/1.0

Radio 2: ge-0/0/1.0

VPN:

Interfaz de enlace

st0.0

st0.0

Establecer túneles

(no configurado)

Inmediatamente después de confirmar la configuración

Tabla 5 muestra las opciones de configuración que son diferentes en cada radio.

Tabla 5: Comparación entre las configuraciones de radio

Opción

Radio 1

Radio 2

interfaz st0.0

10.10.10.2/24

10.10.10.3/24

Interfaz a red interna

(fe-0.0/4.0) 60.60.60.1/24

(fe-0.0/4.0) 70.70.70.1/24

Interfaz a Internet

(fe-0/0/1.0) 2.2.2.1/30

(ge-0/0/1.0) 3.3.3.1/30

La información de enrutamiento de todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 1 muestra los dispositivos de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 1: Implementación básica de AutoVPN con iBGP Implementación básica de AutoVPN con iBGP

Configuración

Para configurar AutoVPN, realice estas tareas:

La primera sección describe cómo obtener certificados de CA y locales en línea mediante el protocolo de inscripción de certificados simples (SCEP) en el concentrador y los dispositivos radiales.

Inscribir certificados de dispositivos con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 1:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT. La configuración de IKE en el concentrador incluye ou=SLT identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 2:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT. La configuración de IKE en el concentrador incluye ou=SLT identificar el radio.

Configuración del hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 1:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 2:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de la fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 1 deben coincidir en el concentrador y los radios.

Verificar el estado de la fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el security ipsec security-associations comando.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y los radios.

Verificar túneles de salto siguiente IPsec

Propósito

Verifique los túneles de salto siguiente IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace del próximo salto son las direcciones IP para las st0 interfaces de los radios. El siguiente salto se debe asociar con el nombre VPN IPsec correcto.

Verificar el BGP

Propósito

Verifique que el BGP haga referencia a las direcciones IP para las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el show bgp summary comando.

Verificar rutas aprendidas

Propósito

Verifique que se hayan aprendido las rutas a los radios.

Acción

Desde el modo operativo, ingrese el show route 60.60.60.0 comando.

Desde el modo operativo, ingrese el show route 70.70.70.0 comando.

Ejemplo: Configuración de AutoVPN básico con iBGP para tráfico IPv6

En este ejemplo, se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, luego, configure dos radios para que actúen como túneles a sitios remotos. En este ejemplo, se configura AutoVPN para el entorno IPv6 mediante iBGP para reenviar paquetes a través de los túneles VPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos de la serie SRX compatibles como concentradores y radios AutoVPN.

  • Junos OS versión 18.1R1 y versiones posteriores.

Antes de comenzar:

  • Obtenga la dirección de la autoridad de certificación (CA) y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN. Para obtener más información acerca de los requisitos específicos de un protocolo de enrutamiento dinámico, consulte descripción general de los protocolos de enrutamiento.

Descripción general

En este ejemplo, se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo de unidad organizativa.

Los radios establecen conexiones VPN IPsec al concentrador, lo que les permite comunicarse entre sí, así como acceder a los recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 6 muestra las opciones utilizadas en este ejemplo.

Tabla 6: Opciones de fase 1 y fase 2 para configuraciones de concentrador y radio autoVPN

Opción

valor

Propuesta de ICR:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticación

SHA-384

Algoritmo de cifrado

AES 256 CBC

Política de ICR:

Modo

Principal

Propuesta de IPsec:

Protocolo

ESP

Segundos de vida útil

3000

Algoritmo de cifrado

AES 256 GCM

Política IPsec:

Grupo de confidencialidad directa perfecta (PFS)

19

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 7 muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 7: Configuración de AutoVPN para hub y todos los radios

Opción

Hub

Todos los radios

Puerta de enlace ICR:

Dirección IP remota

Dinámica

2001:db8:2000::1

ID de IKE remoto

Nombre distinguido (DN) en el certificado del radio con la cadena SLT en el campo de unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

ge-0/0/0

Radio 1: ge-0/0/0.0

Radio 2: ge-0/0/0.0

VPN:

Interfaz de enlace

st0.1

st0.1

Establecer túneles

(no configurado)

establecer túneles en el tráfico

Tabla 8 muestra las opciones de configuración que son diferentes en cada radio.

Tabla 8: Comparación entre las configuraciones de radio

Opción

Radio 1

Radio 2

interfaz st0.0

2001:db8:7000::2/64

2001:db8:7000::3/64

Interfaz a red interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interfaz a Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

La información de enrutamiento de todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 2 muestra los dispositivos de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 2: Implementación básica de AutoVPN con iBGP Implementación básica de AutoVPN con iBGP

Configuración

Para configurar AutoVPN, realice estas tareas:

La primera sección describe cómo obtener certificados de CA y locales en línea mediante el protocolo de inscripción de certificados simples (SCEP) en el concentrador y los dispositivos radiales.

Inscribir certificados de dispositivos con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 1:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT. La configuración de IKE en el concentrador incluye ou=SLT identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 2:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT. La configuración de IKE en el concentrador incluye ou=SLT identificar el radio.

Configuración del hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 1:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 2:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de ICR

Propósito

Verifique el estado de IKE.

Acción

Desde el modo operativo, ingrese el show security ike sa comando.

Significado

El show security ike sa comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 1 deben coincidir en el concentrador y los radios.

Verificar el estado de IPsec

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec sa comando.

Significado

El show security ipsec sa comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y los radios.

Verificar túneles de salto siguiente IPsec

Propósito

Verifique los túneles de salto siguiente IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace del próximo salto son las direcciones IP para las st0 interfaces de los radios. El siguiente salto se debe asociar con el nombre VPN IPsec correcto.

Verificar el BGP

Propósito

Verifique que el BGP haga referencia a las direcciones IP para las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el show bgp summary comando.

Ejemplo: Configuración de AutoVPN con iBGP y ECMP

En este ejemplo, se muestra cómo configurar dos túneles VPN IPsec entre un concentrador AutoVPN y un radio. En este ejemplo, se configura iBGP con varias rutas de igual costo (ECMP) para reenviar paquetes a través de los túneles VPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos de la serie SRX compatibles como concentrador y radio autoVPN

  • Junos OS versión 12.1X44-D10 y posteriores que admiten AutoVPN

Antes de comenzar:

  • Obtenga la dirección de la autoridad de certificación (CA) y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo, se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles VPN IPsec.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados se inscriben en el concentrador y en el radio para cada túnel VPN IPsec. Uno de los certificados para el radio contiene el valor de unidad organizativa (OU) "SLT" en el nombre distinguido (DN); el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo de unidad organizativa. El otro certificado para el radio contiene el valor de unidad organizativa "SBU" en el DN; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SBU" en el campo de unidad organizativa.

El radio establece conexiones VPN IPsec al concentrador, lo que le permite acceder a los recursos del concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y el radio deben tener los mismos valores.Tabla 9 muestra las opciones utilizadas en este ejemplo.

Tabla 9: Opciones de fase 1 y fase 2 para configuraciones ECMP de iBGP radial y concentrador autoVPN

Opción

valor

Propuesta de ICR:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Política de ICR:

Modo

Principal

Propuesta de IPsec:

Protocolo

ESP

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Política IPsec:

Grupo de confidencialidad directa perfecta (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 10 muestra las opciones configuradas en el concentrador y en el radio.

Tabla 10: Configuración ECMP de iBGP autoVPN para hub y spoke 1

Opción

Hub

Radio 1

Puerta de enlace ICR:

Dirección IP remota

hub-to-spoke-gw-1: Dinámica

hub-to-spoke-gw-2: Dinámica

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

ID de IKE remoto

hub-to-spoke-gw-1: DN en el certificado del spoke con la cadena SLT en el campo ou

hub-to-spoke-gw-2: DN en el certificado del spoke con la cadena SBU en el campo ou

spoke-to-hub-gw-1: DN en el certificado del hub

spoke-to-hub-gw-2: DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

VPN:

Interfaz de enlace

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Establecer túneles

(no configurado)

Inmediatamente después de confirmar la configuración

La información de enrutamiento de todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 3 muestra los dispositivos de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 3: Implementación de AutoVPN con iBGP y ECMP Implementación de AutoVPN con iBGP y ECMP

Configuración

Para configurar AutoVPN, realice estas tareas:

La primera sección describe cómo obtener certificados de CA y locales en línea mediante el protocolo de inscripción de certificados simples (SCEP) en el concentrador y los dispositivos radiales.

Inscribir certificados de dispositivos con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves para cada certificado.

  4. Inscríbase los certificados locales.

  5. Verifique los certificados locales.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 1:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves para cada certificado.

  4. Inscríbase los certificados locales.

  5. Verifique los certificados locales.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT para Local1 y SBU para Local2. Las configuraciones de IKE en el concentrador incluyen OU=SLT e OU=SBU identifican el radio.

Configuración del hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 1:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de la fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el concentrador y el radio.

Verificar el estado de la fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el security ipsec security-associations comando.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y hablar.

Verificar túneles de salto siguiente IPsec

Propósito

Verifique los túneles de salto siguiente IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace del próximo salto son las direcciones IP para las st0 interfaces de los radios. El siguiente salto se debe asociar con el nombre VPN IPsec correcto.

Verificar el BGP

Propósito

Verifique que el BGP haga referencia a las direcciones IP para las st0 interfaces del radio.

Acción

Desde el modo operativo, ingrese el show bgp summary comando.

Verificar rutas aprendidas

Propósito

Verifique que se hayan aprendido las rutas al radio.

Acción

Desde el modo operativo, ingrese el show route 60.60.60.0 detail comando.

Verificar la instalación de ruta en la tabla de reenvío

Propósito

Compruebe que las rutas al radio se hayan instalado en la tabla de reenvío.

Acción

Desde el modo operativo, ingrese el show route forwarding-table matching 60.60.60.0 comando.

Ejemplo: Configuración de AutoVPN con iBGP y túneles de respaldo activo

En este ejemplo, se muestra cómo configurar túneles VPN IPsec activos y de respaldo entre un concentrador AutoVPN y un radio. En este ejemplo, se configura iBGP para reenviar el tráfico a través de los túneles VPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos de la serie SRX compatibles como concentrador y radio autoVPN

  • Junos OS versión 12.1X44-D10 y posteriores que admiten AutoVPN

Antes de comenzar:

  • Obtenga la dirección de la autoridad de certificación (CA) y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo, se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles VPN IPsec.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados se inscriben en el concentrador y en el radio para cada túnel VPN IPsec. Uno de los certificados para el radio contiene el valor de unidad organizativa (OU) "SLT" en el nombre distinguido (DN); el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo de unidad organizativa. El otro certificado para el radio contiene el valor de unidad organizativa "SBU" en el DN; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SBU" en el campo de unidad organizativa.

El radio establece conexiones VPN IPsec al concentrador, lo que le permite acceder a los recursos del concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y el radio deben tener los mismos valores. Tabla 11 muestra las opciones utilizadas en este ejemplo.

Tabla 11: Opciones de fase 1 y fase 2 para configuraciones de túnel de respaldo activo de iBGP y concentradores iBGP radiales

Opción

valor

Propuesta de ICR:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Política de ICR:

Modo

Principal

Propuesta de IPsec:

Protocolo

ESP

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Política IPsec:

Grupo de confidencialidad directa perfecta (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 12 muestra las opciones configuradas en el concentrador y en el radio.

Tabla 12: Configuración de túnel de respaldo activo DE IBGP autoVPN para hub y spoke 1

Opción

Hub

Radio 1

Puerta de enlace ICR:

Dirección IP remota

hub-to-spoke-gw-1: Dinámica

hub-to-spoke-gw-2: Dinámica

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

ID de IKE remoto

hub-to-spoke-gw-1: DN en el certificado del spoke con la cadena SLT en el campo ou

hub-to-spoke-gw-2: DN en el certificado del spoke con la cadena SBU en el campo ou

spoke-to-hub-gw-1: DN en el certificado del hub

spoke-to-hub-gw-2: DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

VPN:

Interfaz de enlace

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Monitor VPN

hub-to-spoke-vpn-1: ge-0/0/1.0 (interfaz de origen)

hub-to-spoke-vpn-2: ge-0/0/2.0 (interfaz de origen)

spoke-to-hub-1: 1.1.1.1 (IP de destino)

spoke-to-hub-2: 1.1.2.1 (IP de destino)

Establecer túneles

(no configurado)

Inmediatamente después de confirmar la configuración

La información de enrutamiento de todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 4 muestra los dispositivos de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 4: Implementación de AutoVPN con iBGP y túneles de respaldo activo Implementación de AutoVPN con iBGP y túneles de respaldo activo

En este ejemplo, se establecen dos túneles VPN IPsec entre el concentrador y el radio 1. La información de enrutamiento se intercambia a través de sesiones de iBGP en cada túnel. La coincidencia de prefijo más larga para la ruta a 60.60.60.0/24 es mediante la interfaz st0.0 en el concentrador. Por lo tanto, el túnel principal para la ruta es a través de las interfaces st0.0 en el concentrador y habló 1. La ruta predeterminada es a través del túnel de respaldo en las interfaces st0.1 en el concentrador y spoke 1.

La supervisión de VPN comprueba el estado de los túneles. Si hay un problema con el túnel principal (por ejemplo, la puerta de enlace de túnel remota no es accesible), el estado del túnel cambia a hacia abajo y los datos destinados a 60.60.60.0/24 se reenruta a través del túnel de respaldo.

Configuración

Para configurar AutoVPN, realice estas tareas:

La primera sección describe cómo obtener certificados de CA y locales en línea mediante el protocolo de inscripción de certificados simples (SCEP) en el concentrador y los dispositivos radiales.

Inscribir certificados de dispositivos con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves para cada certificado.

  4. Inscríbase los certificados locales.

  5. Verifique los certificados locales.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 1:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves para cada certificado.

  4. Inscríbase los certificados locales.

  5. Verifique los certificados locales.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT para Local1 y SBU para Local2. Las configuraciones de IKE en el concentrador incluyen OU=SLT e OU=SBU identifican el radio.

Configuración del hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 1:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocols, show security ikeshow routing-options, show security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de fase 1 de ICR (ambos túneles están en funcionamiento)

Propósito

Verifique el estado de fase 1 de IKE cuando ambos túneles VPN IPSec estén en activo.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el concentrador y el radio.

Verificar el estado de fase 2 de IPsec (ambos túneles están activo)

Propósito

Verifique el estado de fase 2 de IPsec cuando ambos túneles VPN IPsec estén activo.

Acción

Desde el modo operativo, ingrese el security ipsec security-associations comando.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y hablar.

Verificar túneles de salto siguiente IPsec (ambos túneles están en funcionamiento)

Propósito

Verifique los túneles de salto siguiente IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace de salto siguiente son las direcciones IP para las st0 interfaces del radio. El siguiente salto se debe asociar con el nombre VPN IPsec correcto.

Verificar el BGP (ambos túneles están funcionando)

Propósito

Verifique que el BGP haga referencia a las direcciones IP para las st0 interfaces del radio cuando ambos túneles VPN IPsec estén activo.

Acción

Desde el modo operativo, ingrese el show bgp summary comando.

Verificar rutas aprendidas (ambos túneles están funcionando)

Propósito

Verifique que las rutas al radio se aprendieron cuando ambos túneles están funcionando. La ruta a 60.60.60.0/24 se realiza a través de la interfaz st0.0 y la ruta predeterminada pasa por la interfaz st0.1.

Acción

Desde el modo operativo, ingrese el show route 60.60.60.0 comando.

Desde el modo operativo, ingrese el show route 0.0.0.0 comando.

Verificar el estado de la fase 1 de ICR (el túnel principal está caído)

Propósito

Verifique el estado de fase 1 de ICR cuando el túnel principal está abajo.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el concentrador y el radio.

Verificar el estado de fase 2 de IPsec (el túnel principal está apagado)

Propósito

Verifique el estado de fase 2 de IPsec cuando el túnel principal está apagado.

Acción

Desde el modo operativo, ingrese el security ipsec security-associations comando.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y hablar.

Verificar túneles de salto siguiente IPsec (el túnel principal está caído)

Propósito

Verifique el túnel del salto siguiente IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace de salto siguiente son las direcciones IP para las st0 interfaces del radio. El siguiente salto se debe asociar con el nombre de VPN IPsec correcto, en este caso el túnel VPN de respaldo.

Verificar el BGP (el túnel principal está abajo)

Propósito

Verifique que el BGP haga referencia a las direcciones IP para las st0 interfaces del radio cuando el túnel principal está caído.

Acción

Desde el modo operativo, ingrese el show bgp summary comando.

Verificar rutas aprendidas (el túnel principal está abajo)

Propósito

Verifique que las rutas al radio se aprendieron cuando el túnel principal está abajo. Tanto la ruta a 60.60.60.0/24 como la ruta predeterminada pasan por la interfaz st0.1.

Acción

Desde el modo operativo, ingrese el show route 60.60.60.0 comando.

Desde el modo operativo, ingrese el show route 0.0.0.0 comando.

Ejemplo: Configuración de AutoVPN básico con OSPF

En este ejemplo, se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, luego, configure dos radios para que actúen como túneles a sitios remotos. En este ejemplo, se configura OSPF para reenviar paquetes a través de los túneles VPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos de la serie SRX compatibles como concentradores y radios AutoVPN

  • Junos OS versión 12.1X44-D10 y posteriores que admiten AutoVPN

Antes de comenzar:

  • Obtenga la dirección de la autoridad de certificación (CA) y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo, se muestra la configuración de un concentrador AutoVPN y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo de unidad organizativa.

Los radios establecen conexiones VPN IPsec al concentrador, lo que les permite comunicarse entre sí, así como acceder a los recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 13 muestra las opciones utilizadas en este ejemplo.

Tabla 13: Opciones de fase 1 y fase 2 para configuraciones de OSPF básicas de concentrador autoVPN y radial

Opción

valor

Propuesta de ICR:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

2

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 128 CBC

Política de ICR:

Modo

Principal

Propuesta de IPsec:

Protocolo

ESP

Algoritmo de autenticación

HMAC MD5 96

Algoritmo de cifrado

DES CBC

Política IPsec:

Grupo de confidencialidad directa perfecta (PFS)

14

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Junos OS solo admite un único nivel de jerarquía de certificados.

Tabla 14 muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 14: Configuración de OSPF básica de AutoVPN para hub y todos los radios

Opción

Hub

Todos los radios

Puerta de enlace ICR:

Dirección IP remota

Dinámica

1.1.1.1

ID de IKE remoto

Nombre distinguido (DN) en el certificado del radio con la cadena SLT en el campo de unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

ge-0/0/1.0

Radio 1: fe-0/0/1.0

Radio 2: ge-0/0/1.0

VPN:

Interfaz de enlace

st0.0

st0.0

Establecer túneles

(no configurado)

Inmediatamente después de confirmar la configuración

Tabla 15 muestra las opciones de configuración que son diferentes en cada radio.

Tabla 15: Comparación entre las configuraciones básicas de radio OSPF

Opción

Radio 1

Radio 2

interfaz st0.0

10.10.10.2/24

10.10.10.3/24

Interfaz a red interna

fe-0.0/4.0: 60.60.60.1/24

fe-0.0/4.0: 70.70.70.1/24

Interfaz a Internet

fe-0/0/1.0: 2.2.2.1/30

ge-0/0/1.0: 3.3.3.1/30

La información de enrutamiento de todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 5 muestra los dispositivos de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 5: Implementación básica de AutoVPN con OSPF Implementación básica de AutoVPN con OSPF

Configuración

Para configurar AutoVPN, realice estas tareas:

La primera sección describe cómo obtener certificados de CA y locales en línea mediante el protocolo de inscripción de certificados simples (SCEP) en el concentrador y los dispositivos radiales.

Inscribir certificados de dispositivos con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 1:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT. La configuración de IKE en el concentrador incluye ou=SLT identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 2:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT. La configuración de IKE en el concentrador incluye ou=SLT identificar el radio.

Configuración del hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 1:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 2:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de la fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 1 deben coincidir en el concentrador y los radios.

Verificar el estado de la fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el security ipsec security-associations comando.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y los radios.

Verificar túneles de salto siguiente IPsec

Propósito

Verifique los túneles de salto siguiente IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace del próximo salto son las direcciones IP para las st0 interfaces de los radios. El siguiente salto se debe asociar con el nombre VPN IPsec correcto.

Verificar OSPF

Propósito

Verifique que OSPF haga referencia a las direcciones IP para las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el show ospf neighbor comando.

Verificar rutas aprendidas

Propósito

Verifique que se hayan aprendido las rutas a los radios.

Acción

Desde el modo operativo, ingrese el show route 60.60.60.0 comando.

Desde el modo operativo, ingrese el show route 70.70.70.0 comando.

Ejemplo: Configuración de AutoVPN con OSPFv3 para tráfico IPv6

En este ejemplo, se muestra cómo configurar un concentrador AutoVPN para que actúe como un único punto de terminación y, luego, configure dos radios para que actúen como túneles a sitios remotos. En este ejemplo, se configura AutoVPN para el entorno IPv6 mediante OSPFv3 para reenviar paquetes a través de los túneles VPN.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Tres dispositivos de la serie SRX compatibles como concentradores y radios AutoVPN.

  • Junos OS versión 18.1R1 y versiones posteriores.

Antes de comenzar:

  • Obtenga la dirección de la autoridad de certificación (CA) y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes de certificados locales.

Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a través de los túneles VPN.

Descripción general

En este ejemplo, se muestra la configuración de un AutoVPN con protocolo de enrutamiento OSPFv3 en el concentrador y las configuraciones posteriores de dos radios.

En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo mediante el Protocolo simple de inscripción de certificados (SCEP). Los certificados para los radios contienen el valor de unidad organizativa (OU) "SLT" en el campo asunto; el concentrador está configurado con un ID de IKE de grupo para que coincida con el valor "SLT" en el campo de unidad organizativa.

Los radios establecen conexiones VPN IPsec al concentrador, lo que les permite comunicarse entre sí, así como acceder a los recursos en el concentrador. Las opciones de túnel IKE de fase 1 y fase 2 configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla 16 muestra las opciones utilizadas en este ejemplo.

Tabla 16: Opciones de fase 1 y fase 2 para hub autoVPN y configuraciones básicas de OSPFv3

Opción

valor

Propuesta de ICR:

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

19

Algoritmo de autenticación

SHA-384

Algoritmo de cifrado

AES 256 CBC

Política de ICR:

Modo

Principal

Propuesta de IPsec:

Protocolo

ESP

Segundos de vida útil

3000

Algoritmo de cifrado

AES 256 GCM

Política IPsec:

Grupo de confidencialidad directa perfecta (PFS)

19

La misma autoridad de certificación (CA) está configurada en todos los dispositivos.

Tabla 17 muestra las opciones configuradas en el concentrador y en todos los radios.

Tabla 17: Configuración de AutoVPN OSPFv3 para hub y todos los radios

Opción

Hub

Todos los radios

Puerta de enlace ICR:

Dirección IP remota

Dinámica

2001:db8:2000::1

ID de IKE remoto

Nombre distinguido (DN) en el certificado del radio con la cadena SLT en el campo de unidad organizativa (OU)

DN en el certificado del hub

Local IKE ID

DN en el certificado del hub

DN en el certificado del radio

Interfaz externa

ge-0/0/0

Radio 1: ge-0/0/0.0

Radio 2: ge-0/0/0.0

VPN:

Interfaz de enlace

st0.1

st0.1

Establecer túneles

(no configurado)

Inmediatamente después de confirmar la configuración

Tabla 18 muestra las opciones de configuración que son diferentes en cada radio.

Tabla 18: Comparación entre las configuraciones de radio OSPFv3

Opción

Radio 1

Radio 2

interfaz st0.1

2001:db8:7000::2/64

2001:db8:7000::3/64

Interfaz a red interna

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Interfaz a Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

La información de enrutamiento de todos los dispositivos se intercambia a través de los túneles VPN.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Topología

Figura 6 muestra los dispositivos de la serie SRX que se configurarán para AutoVPN en este ejemplo.

Figura 6: Implementación básica de AutoVPN con OSPFv3 Implementación básica de AutoVPN con OSPFv3

Configuración

Para configurar AutoVPN, realice estas tareas:

La primera sección describe cómo obtener certificados de CA y locales en línea mediante el protocolo de inscripción de certificados simples (SCEP) en el concentrador y los dispositivos radiales.

Inscribir certificados de dispositivos con SCEP

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el concentrador:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 1:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT. La configuración de IKE en el concentrador incluye ou=SLT identificar el radio.

Procedimiento paso a paso

Para inscribir certificados digitales con SCEP en el spoke 2:

  1. Configure la CA.

  2. Inscríbase el certificado de CA.

    Escriba yes en el indicador para cargar el certificado de CA.

  3. Genere un par de claves.

  4. Inscríbase el certificado local.

  5. Verifique el certificado local.

    La unidad organizativa (OU) que se muestra en el campo asunto es SLT. La configuración de IKE en el concentrador incluye ou=SLT identificar el radio.

Configuración del hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar el hub:

  1. Configure las interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 1:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del spoke 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar spoke 2:

  1. Configure interfaces.

  2. Configure el protocolo de enrutamiento.

  3. Configure las opciones de fase 1.

  4. Configure las opciones de fase 2.

  5. Configure zonas.

  6. Configure la política de seguridad predeterminada.

  7. Configure el perfil de CA.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesy show security pki . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de ICR

Propósito

Verifique el estado de IKE.

Acción

Desde el modo operativo, ingrese el show security ike sa comando.

Significado

El show security ike sa comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 1 deben coincidir en el concentrador y los radios.

Verificar el estado de IPsec

Propósito

Verifique el estado de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec sa comando.

Significado

El show security ipsec sa comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y los radios.

Verificar túneles de salto siguiente IPsec

Propósito

Verifique los túneles de salto siguiente IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace del próximo salto son las direcciones IP para las st0 interfaces de los radios. El siguiente salto se debe asociar con el nombre VPN IPsec correcto.

Verificar OSPFv3

Propósito

Verifique que OSPFv3 haga referencia a las direcciones IP para las st0 interfaces de los radios.

Acción

Desde el modo operativo, ingrese el show ospf3 neighbor detail comando.

Hub:

Radio 1:

Radio 2:

Ejemplo: Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico

En este ejemplo, se muestra cómo configurar selectores de tráfico, en lugar de protocolos de enrutamiento dinámico, para reenviar paquetes a través de un túnel VPN en una implementación de AutoVPN. Cuando se configuran los selectores de tráfico, la interfaz de túnel seguro (st0) debe estar en modo punto a punto. Los selectores de tráfico se configuran tanto en el concentrador como en los dispositivos radiales.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos serie SRX conectados y configurados en un clúster de chasis. El clúster de chasis es el concentrador AutoVPN.

  • Un dispositivo de la serie SRX configurado como radio autoVPN.

  • Junos OS versión 12.3X48-D10 o posterior.

  • Certificados digitales inscritos en el hub y los dispositivos radiales que permiten que los dispositivos se autentifiquen entre sí.

Antes de comenzar:

  • Obtenga la dirección de la autoridad de certificación (CA) y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes de certificados locales. Consulte Descripción de las solicitudes de certificado local.

  • Inscríbase los certificados digitales en cada dispositivo. Consulte Ejemplo: Carga manual de certificados de CA y locales.

Descripción general

En este ejemplo, los selectores de tráfico se configuran en el concentrador AutoVPN y hablan. Solo el tráfico que se ajuste al selector de tráfico configurado se reenvía a través del túnel. En el concentrador, el selector de tráfico se configura con la dirección IP local 192.0.0.0/8 y la dirección IP remota 172.0.0.0/8. En el radio, el selector de tráfico se configura con la dirección IP local 172.0.0.0/8 y la dirección IP remota 192.0.0.0/8.

Las direcciones IP del selector de tráfico configuradas en el radio pueden ser un subconjunto de las direcciones IP del selector de tráfico configuradas en el concentrador. Esto se conoce como coincidencia flexible del selector de tráfico.

Ciertas opciones de túnel IKE de fase 1 y fase 2 configuradas en los concentradores y radios autoVPN deben tener los mismos valores. Tabla 19 muestra los valores utilizados en este ejemplo:

Tabla 19: Opciones de fase 1 y fase 2 para concentradores y radios AutoVPN con selectores de tráfico

Opción

valor

Propuesta de ICR:

Método de autenticación

rsa-signatures

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

sha-1

Algoritmo de cifrado

aes-256-cbc

Política de ICR:

Modo

Principal

Certificado

certificado local

Puerta de enlace ICR:

Dinámica

comodín de nombre distinguido DC=Common_component

Tipo de usuario ICR

id de ICR del grupo

Identidad local

nombre distinguido

Versión

v1-only

Propuesta de IPsec:

Protocolo

Esp

Algoritmo de autenticación

hmac-sha1-96

Algoritmo de cifrado

aes-192-cbc

Vida

3600 segundos

150 000 kilobytes

Política IPsec:

Grupo de confidencialidad directa perfecta (PFS)

grupo 5

Topología

Figura 7 muestra los dispositivos de la serie SRX que se configurarán para este ejemplo.

Figura 7: AutoVPN con selectores de tráfico AutoVPN con selectores de tráfico

Configuración

Configuración del hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

A partir de Junos OS versión 15.1X49-D120, puede configurar la opción reject-duplicate-connection de CLI en el nivel de jerarquía [edit security ike gateway gateway-name dynamic] para conservar una sesión de túnel existente y rechazar las solicitudes de negociación de un túnel nuevo con el mismo ID de IKE. De forma predeterminada, un túnel existente se rompe cuando se establece un túnel nuevo con el mismo ID de IKE. La reject-duplicate-connection opción solo se admite cuando ike-user-type group-ike-id o ike-user-type shared-ike-id está configurada para la puerta de enlace IKE; la aaa access-profile profile-name configuración no se admite con esta opción.

Utilice la opción reject-duplicate-connection de CLI solo cuando esté seguro de que se debe rechazar el restablecimiento de un túnel nuevo con el mismo ID de IKE.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el hub:

  1. Configure interfaces.

  2. Configure las opciones de fase 1.

  3. Configure las opciones de fase 2.

  4. Configure la información del certificado.

  5. Configure zonas de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show security ike, show security ipsec, show security pki, show security zonesy show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del radio

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el hub:

  1. Configure interfaces.

  2. Configure las opciones de fase 1.

  3. Configure las opciones de fase 2.

  4. Configure la información del certificado.

  5. Configure zonas de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show security ike, show security ipsec, show security pki, show security zonesy show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar túneles

Propósito

Verifique que los túneles se establecen entre el concentrador autoVPN y el radio.

Acción

Desde el modo operativo, ingrese los show security ike security-associations comandos y show security ipsec security-associations en el concentrador.

Desde el modo operativo, ingrese los show security ike security-associations comandos y show security ipsec security-associations en el radio.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. El concentrador muestra un túnel activo al radio mientras que el radio muestra un túnel activo al concentrador.

Si no se enumera ninguna SA para la fase 1 de ICR, entonces hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de la propuesta de fase 1 deben coincidir en el concentrador y el radio.

Si no se enumera ninguna SA para la fase 2 de ICR, entonces hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en el concentrador y hablar.

Verificar selectores de tráfico

Propósito

Verifique los selectores de tráfico.

Acción

Desde el modo operativo, ingrese el show security ipsec traffic-selector interface-name st0.1 comando en el concentrador.

Desde el modo operativo, ingrese el show security ipsec traffic-selector interface-name st0.1 comando en el radio.

Significado

Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el iniciador y el respondedor (el concentrador de la serie SRX).

Ejemplo: Garantizar la disponibilidad del túnel VPN con AutoVPN y selectores de tráfico

La redundancia geográfica es el despliegue de varios sitios geográficamente lejanos para que el tráfico pueda seguir fluyendo a través de una red de proveedores, incluso si hay una interrupción de la energía, un desastre natural u otro evento catastrófico que afecta a un sitio. En una red de proveedores móviles, se pueden conectar varios dispositivos Evolved Node B (eNodeB) a la red central mediante puertas de enlace VPN IPsec georedundantes en dispositivos serie SRX. Las rutas alternativas a los dispositivos eNodeB se distribuyen a la red central mediante un protocolo de enrutamiento dinámico.

En este ejemplo, se configuran concentradores AutoVPN con varios selectores de tráfico en dispositivos serie SRX para garantizar que haya puertas de enlace VPN IPsec georedundantes a dispositivos eNodeB. La inserción automática de rutas (ARI) se utiliza para insertar automáticamente rutas hacia los dispositivos eNodeB en las tablas de enrutamiento de los concentradores. A continuación, las rutas ARI se distribuyen a la red central del proveedor a través del BGP.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos serie SRX conectados y configurados en un clúster de chasis. El clúster de chasis es el concentrador A de AutoVPN.

  • Un dispositivo serie SRX configurado como concentrador B de AutoVPN.

  • Junos OS versión 12.3X48-D10 o posterior.

  • Dispositivos eNodeB que pueden establecer túneles VPN IPsec con concentradores AutoVPN. Los dispositivos eNodeB son proveedores de equipos de red de terceros que inician un túnel VPN con concentradores AutoVPN.

  • Certificados digitales inscritos en los hubs y los dispositivos eNodeB que permiten que los dispositivos se autentifiquen entre sí.

Antes de comenzar:

  • Obtenga la dirección de la autoridad de certificación (CA) y la información que requieren (como la contraseña de desafío) cuando envíe solicitudes de certificados locales. Consulte Descripción de las solicitudes de certificado local.

  • Inscríbase los certificados digitales en cada dispositivo. Consulte Ejemplo: Carga manual de certificados de CA y locales.

En este ejemplo, se utiliza el protocolo de enrutamiento dinámico bgp para anunciar rutas hacia los dispositivos eNodeB a la red central.

Descripción general

En este ejemplo, dos concentradores AutoVPN se configuran con varios selectores de tráfico en dispositivos serie SRX para proporcionar puertas de enlace VPN IPsec georedundantes a dispositivos eNodeB. ARI inserta automáticamente rutas a los dispositivos eNodeB en las tablas de enrutamiento de los hubs. A continuación, las rutas ARI se distribuyen a la red central del proveedor a través del BGP.

Ciertas opciones de túnel IKE de fase 1 y fase 2 configuradas en los hubs y dispositivos eNodeB de AutoVPN deben tener los mismos valores. Tabla 20 muestra los valores utilizados en este ejemplo:

Tabla 20: Opciones de fase 1 y fase 2 para hubs AutoVPN de georedundant

Opción

valor

Propuesta de ICR:

Método de autenticación

rsa-signatures

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

sha-1

Algoritmo de cifrado

aes-256-cbc

Política de ICR:

Certificado

certificado local

Puerta de enlace ICR:

Dinámica

comodín de nombre distinguido DC=Common_component

Tipo de usuario ICR

id de ICR del grupo

Detección de pares muertos

túnel de sondeo-inactividad

Identidad local

nombre distinguido

Versión

v2-only

Propuesta de IPsec:

Protocolo

Esp

Algoritmo de autenticación

hmac-sha1-96

Algoritmo de cifrado

aes-256-cbc

Política IPsec:

Grupo de confidencialidad directa perfecta (PFS)

grupo 5

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad. Por simplicidad, la configuración en los dispositivos de la serie SRX permite todo tipo de tráfico entrante; esta configuración no se recomienda para implementaciones de producción.

Topología

Figura 8 muestra los dispositivos de la serie SRX que se configurarán para este ejemplo.

Figura 8: Puertas de enlace VPN IPsec georedundant a dispositivos eNodeB Puertas de enlace VPN IPsec georedundant a dispositivos eNodeB

Configuración

Configuración del hub A

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el hub A:

  1. Configure interfaces.

  2. Configure las opciones de fase 1.

  3. Configure las opciones de fase 2.

  4. Configure el protocolo de enrutamiento BGP.

  5. Configure las opciones de enrutamiento.

  6. Configure la información del certificado.

  7. Configure zonas de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfaces show security ikecomandos , show security ipsec, show protocols bgp, show policy-options, show security pki, show security zonesy show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del hub B

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el hub B:

  1. Configure interfaces.

  2. Configure las opciones de fase 1.

  3. Configure las opciones de fase 2.

  4. Configure el protocolo de enrutamiento BGP.

  5. Configure las opciones de enrutamiento.

  6. Configure la información del certificado.

  7. Configure zonas de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfaces show security ikecomandos , show security ipsec, show protocols bgp, show security pki, show security zonesy show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del eNodeB (configuración de ejemplo)

Procedimiento paso a paso
  1. La configuración de eNodeB en este ejemplo se proporciona como referencia. La información detallada de configuración de eNodeB está fuera del alcance de este documento. La configuración de eNodeB debe incluir la siguiente información:

    • Certificado local (X.509v3) e información de identidad de IKE

    • Información de identidad IKE serie SRX y dirección IP pública

    • Propuestas de fase 1 y fase 2 que coincidan con las configuraciones de los concentradores serie SRX

Resultados

Los dispositivos eNodeB en este ejemplo utilizan software de código abierto strongSwan para conexiones VPN basadas en IPsec:

Verificación

Confirme que la configuración funciona correctamente.

Verificar túneles en los concentradores AutoVPN

Propósito

Verifique que los túneles se establecen entre el concentrador autoVPN y los dispositivos eNodeB.

Acción

Desde el modo operativo, ingrese los show security ike security-associations comandos y show security ipsec security-associations en el concentrador.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. El concentrador muestra dos túneles activos, uno a cada dispositivo eNodeB.

Si no se enumera ninguna SA para la fase 1 de ICR, entonces hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 1 deben coincidir en los dispositivos hub y eNodeB.

Si no se enumera ninguna SA para la fase 2 de ICR, entonces hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en los dispositivos hub y eNodeB.

Verificar selectores de tráfico

Propósito

Verifique los selectores de tráfico.

Acción

Desde el modo operativo, ingrese el show security ipsec traffic-selector interface-name st0.1 comando.

Significado

Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el iniciador y el respondedor (el concentrador de la serie SRX).

Verificar rutas ARI

Propósito

Compruebe que las rutas ARI se agreguen a la tabla de enrutamiento.

Acción

Desde el modo operativo, ingrese el show route comando.

Significado

La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y los hosts protegidos por un punto de conexión de túnel remoto. Se crea una ruta basada en la dirección IP remota configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota configurada se inserta como una ruta en la instancia de enrutamiento asociada con la interfaz st0 que está enlazada a la VPN.

Las rutas estáticas a los destinos de eNodeB 30.1.1.0/24 y 50.1.1.0/24 se agregan a la tabla de enrutamiento del concentrador serie SRX. Estas rutas son accesibles a través de la interfaz st0.1.

Ejemplo: Configuración de AutoVPN con clave previamente compartida

En este ejemplo, se muestra cómo configurar distinta clave IKE previamente compartida utilizada por la puerta de enlace VPN para autenticar al par remoto. De manera similar, para configurar la misma clave IKE previamente compartida utilizada por la puerta de enlace VPN para autenticar al par remoto.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • MX240, MX480 y MX960 con MX-SPC3 y Junos OS versión 21.1R1 que admiten AutoVPN
  • o la línea de dispositivos SRX5000 con SPC3 y Junos OS versión 21.2R1 que admiten AutoVPN
  • o vSRX que ejecuta iked y Junos OS versión 21.2R1 que admiten AutoVPN

Configure diferentes claves IKE previamente compartidas

Para configurar distinta clave IKE previamente compartida que la puerta de enlace VPN utiliza para autenticar al par remoto, realice estas tareas.

  1. Configure la semilla previamente compartida para la política de IKE en el dispositivo con el concentrador AutoVPN.

    O

    Por ejemplo:

    O

  2. Mostrar el par remoto mediante el pre-shared key nombre de puerta de enlace y el id de usuario.

    Por ejemplo:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Configure el PSK generado ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" en el paso 2) en la política ike en el dispositivo par remoto.

    Por ejemplo:

  4. (Opcional) Para omitir la validación del ID de IKE y permitir todos los tipos de ID de IKE, configure general-ikeid la instrucción de configuración en el nivel de jerarquía [editar la puerta de enlace ike de seguridad gateway_name dinámico] en la puerta de enlace.

Resultado

Desde el modo de configuración, confirme su configuración ingresando el comando show security. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Configure la misma clave IKE previamente compartida

Para configurar la misma clave IKE previamente compartida que la puerta de enlace VPN utiliza para autenticar al par remoto, realice estas tareas.

  1. Configure la política común pre-shared-key para ike en el dispositivo con concentrador AutoVPN.

    Por ejemplo:

  2. Configure el común pre-shared-key en la política ike para el dispositivo par remoto.

    Por ejemplo:

  3. (Opcional) Para omitir la validación del ID de IKE y permitir todos los tipos de ID de IKE, configure general-ikeid la instrucción de configuración en el nivel de jerarquía [editar la puerta de enlace ike de seguridad gateway_name dinámico] en la puerta de enlace.

Resultado

Desde el modo de configuración, confirme su configuración ingresando el comando show security. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Tabla de historial de versiones
Liberación
Descripción
17.4R1
A partir de Junos OS versión 17.4R1, la dirección IPv6 se admite en AutoVPN.
17.4R1
A partir de Junos OS versión 17.4R1, las redes AutoVPN que utilizan interfaces de túnel seguras en modo punto a punto admiten direcciones IPv6 para selectores de tráfico y para pares IKE.
15.1X49-D120
A partir de Junos OS versión 15.1X49-D120, puede configurar la opción reject-duplicate-connection de CLI en el nivel de jerarquía [edit security ike gateway gateway-name dynamic] para conservar una sesión de túnel existente y rechazar las solicitudes de negociación de un túnel nuevo con el mismo ID de IKE.