Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN dinámicas con clientes Pulse Secure

La VPN dinámica permite a los clientes de Pulse Secure establecer túneles VPN IPsec a puertas de enlace de servicios SRX sin configurar manualmente la configuración de VPN en sus PC. La autenticación de usuario se admite a través de un servidor RADIUS o un grupo local de direcciones IP.

El software de cliente Pulse Secure se puede obtener del sitio de software de descarga de Juniper Networks en https://www.juniper.net/support/downloads/?p=pulse#sw.

Descripción general de VPN dinámica

Los túneles VPN permiten a los usuarios acceder de forma segura a activos como servidores de correo electrónico y servidores de aplicaciones que residen detrás de un firewall. Los túneles VPN de extremo a sitio son particularmente útiles para los usuarios remotos, como los teletrabajadores, ya que un solo túnel permite el acceso a todos los recursos de una red: los usuarios no necesitan configurar configuraciones de acceso individuales a cada aplicación y servidor. Consulte Figura 1.

Figura 1: Uso de un túnel VPN para habilitar el acceso remoto a una red corporativa Uso de un túnel VPN para habilitar el acceso remoto a una red corporativa

La función VPN dinámica también se conoce como cliente VPN de acceso remoto o VPN IPsec. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550HM. El software de cliente Pulse Secure se utiliza para el acceso VPN. La autenticación de usuario se admite mediante un servidor RADIUS externo o un grupo de direcciones IP local configurado en la puerta de enlace SRX. El cliente de acceso remoto de capa 3 utiliza la configuración del lado del cliente que recibe de la puerta de enlace de la serie SRX para crear y administrar un túnel VPN seguro de extremo a sitio a la puerta de enlace.

Si se requieren más de dos conexiones de usuario simultáneas, se debe instalar una licencia VPN dinámica en la puerta de enlace serie SRX. Consulte la Guía de instalación y actualización de software para obtener más información sobre cómo instalar y administrar licencias. La cantidad máxima de conexiones de usuario admitidas depende del dispositivo de la serie SRX.

La función VPN dinámica está deshabilitada de forma predeterminada en el dispositivo. Para habilitar la VPN dinámica, debe configurar la función mediante la dynamic-vpn instrucción de configuración en el nivel de jerarquía [edit security].

Si ha actualizado a Junos OS versión 21.4R1 y posteriores, tenga en cuenta los siguientes puntos con respecto al uso de la función VPN dinámica:

  • A partir de Junos OS versión 21.4R1, hemos obsoleto la solución de acceso remoto VPN dinámico. Esto significa que no puede utilizar Pulse Secure Client en los dispositivos de la serie SRX. Como parte de este cambio, hemos desusado todas las instrucciones y comandos de CLI relacionados con DYNAMIC VPN existentes, que incluyen:
    • Opciones de configuración bajo [edit security dynamic-vpn] nivel jerárquico.
    • Mostrar y borrar comandos bajo el nivel de [edit dynamic-vpn] jerarquía.
  • La funcionalidad de VPN dinámica funciona si continúa configurando en la jerarquía en desuso para la versión 21.3R1 de Junos OS y versiones anteriores. En la CLI, puede configurar VPN dinámica en la jerarquía en desuso mencionando explícitamente las opciones de VPN dinámicas.
  • Como alternativa, puede usar el cliente VPN de acceso remoto Juniper Secure Connect que introdujimos en la versión 20.3R1 de Junos OS. Juniper Secure Connect es un cliente VPN fácil de usar que admite más funciones y plataformas que la VPN dinámica. SRX viene con dos usuarios simultáneos integrados en todos los dispositivos de la serie SRX. Si necesita usuarios simultáneos adicionales, comuníquese con su representante de Juniper Networks para obtener licencias de acceso remoto. Para obtener más información sobre las licencias de Juniper Secure Connect, consulte Licencias para Juniper Secure Connect y Administración de licencias.

Descripción de la compatibilidad con túnel VPN dinámico

Los túneles VPN dinámicos se configuran de la misma manera que los túneles VPN IPsec tradicionales. Sin embargo, no todas las opciones de VPN IPsec son compatibles. Esta función se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM y SRX650.

En la siguiente lista se describen los requisitos y las opciones admitidas al configurar túneles VPN dinámicos:

  • Solo se admiten VPN basadas en políticas. Las VPN basadas en rutas no se admiten con túneles VPN dinámicos. No se admiten protocolos de enrutamiento.

  • Solo se admite IKEv1. IKEv2 no se admite.

  • Solo se admiten el tráfico IPv4 y los túneles IPv4 en IPv4. No se admiten el tráfico IPv6 y los túneles.

  • Solo se admiten claves previamente compartidas para la autenticación. No se admite la PKI.

  • El modo agresivo se admite para los intercambios de fase 1 de IKE. No se admite el modo principal.

  • El tráfico VPN solo se puede iniciar desde el cliente remoto. No se admite el tráfico VPN iniciado desde la puerta de enlace SRX.

  • Se admite la detección de pares muertos (DPD). No se admite la supervisión vpn.

  • Se admite la autenticación extendida (XAuth) con configuración de modo.

  • La autenticación se admite desde un perfil local. Los atributos se pueden proporcionar desde un grupo de direcciones local. La autenticación y los atributos se pueden proporcionar desde un servidor RADIUS.

  • Se admiten clústeres de chasis.

  • Se admite TDR-T.

  • Se admite ICR en enrutadores virtuales o en instancias de enrutamiento y reenvío virtuales.

  • No se admite AutoVPN.

  • No se admite la inserción automática de rutas (ARI).

  • Se requieren derechos de administrador para instalar el software del cliente Pulse, se requieren derechos de administrador.

  • Los usuarios deben volver a autenticarse durante las reclaves de fase 1 de IKE. El tiempo de reclave es configurable.

Los IKE compartidos o de grupo se pueden usar para configurar una sola VPN que comparten todos los clientes remotos. Cuando se comparte una sola VPN, el número total de conexiones simultáneas a la puerta de enlace no puede ser mayor que la cantidad de licencias VPN dinámicas instaladas. Cuando configure una puerta de enlace de ID de IKE compartida o de grupo, puede configurar la cantidad máxima de conexiones para que sea mayor que la cantidad de licencias de VPN dinámicas instaladas. Sin embargo, si una nueva conexión supera el número de conexiones con licencia, se denegará la conexión. Puede ver la información de licencia de VPN dinámica con el show system license usage comando.

Descripción del acceso de cliente remoto a la VPN

Una implementación de VPN dinámica común es proporcionar acceso VPN a clientes remotos conectados a través de una red pública como Internet. El acceso IPsec se proporciona a través de una puerta de enlace en el dispositivo de Juniper Networks. El software de cliente Pulse Secure se utiliza para el acceso VPN. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

El software de cliente Pulse Secure se puede obtener del sitio de software de descarga de Juniper Networks en https://www.juniper.net/support/downloads/?p=pulse#sw.

A continuación, se describe el proceso para que un cliente remoto Pulse Secure acceda a la VPN:

Para obtener instrucciones detalladas sobre cómo conectar el programa cliente remoto al dispositivo serie SRX, consulte KB17641. Consulte también la documentación de Pulse Secure para obtener información actual del cliente.

  1. El usuario descarga e instala el software cliente Pulse Secure en su dispositivo.

  2. El usuario inicia el programa de cliente remoto Pulse Secure.

    En el programa de cliente remoto Pulse Secure, el usuario hace lo siguiente:

    1. Haga clic en Add connection.

    2. En Tipo, seleccione Firewall (SRX).

    3. En Nombre, escriba el nombre de host de la puerta de enlace SRX.

      En el dispositivo de la serie SRX, este nombre de host se configura con el set security ike gateway gateway-name dynamic hostname hostname comando. El administrador SRX debe proporcionar el nombre de host a los usuarios remotos.

    4. En Nombre de URL del servidor, escriba la dirección IP de la puerta de enlace SRX.

      En el dispositivo de la serie SRX, esta dirección IP es la dirección IP de la external-interface configurada con el set security ike gateway gateway-name comando. El administrador SRX debe proporcionar la dirección IP a los usuarios remotos.

  3. Haga clic en Addy, a continuación, haga clic en Connect. El programa de cliente remoto Pulse Secure se conecta a la serie SRX mediante HTTPS.

  4. Ingrese su nombre de usuario y contraseña cuando se le solicite. La información de configuración se descarga del dispositivo de la serie SRX al cliente remoto para permitir que el cliente establezca una SA de IKE con el dispositivo de la serie SRX.

  5. Si accede a vpn dinámica por primera vez, escriba de nuevo sus credenciales de usuario para establecer una SA IPsec. Una dirección IP se asigna al cliente remoto desde un grupo de direcciones local o desde un servidor RADIUS externo.

    Las credenciales de usuario que escriba en el paso 4 se utilizan para descargar la configuración al cliente remoto y establecer una SA de IKE entre el cliente y el dispositivo de la serie SRX. Las credenciales de usuario especificadas en este paso se utilizan para establecer una SA IPsec. Las credenciales de usuario pueden ser iguales o diferentes, según la configuración del dispositivo de la serie SRX.

  6. Una vez que la autenticación y la asignación de direcciones son correctas, se establece un túnel.

Conjuntos de propuestas de VPN dinámica

Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM. Configurar propuestas personalizadas de intercambio de claves por internet (IKE) y seguridad IP (IPsec) para políticas IKE e IPsec puede ser tediosa y requiere mucho tiempo cuando hay muchos clientes VPN dinámicos . El administrador puede seleccionar conjuntos de propuestas básicas, compatibles o estándar para clientes VPN dinámicos. Cada conjunto de propuestas consta de dos o más propuestas predefinidas. El servidor selecciona una propuesta predefinida del conjunto y la inserta en el cliente en la configuración del cliente. El cliente utiliza esta propuesta en las negociaciones con el servidor para establecer la conexión.

Los valores predeterminados para el tiempo de espera de la reclave de la asociación de seguridad (SA) de IKE e IPsec son los siguientes:

  • Para las SA de IKE, el tiempo de espera de rekey es de 28 800 segundos.

  • Para SA IPsec, el tiempo de espera de rekey es de 3600 segundos.

Dado que la configuración del conjunto de propuestas no permite la configuración del tiempo de espera de rekey, estos valores se incluyen en la configuración del cliente que se envía al cliente en el tiempo de descarga del cliente.

Los casos de uso básicos de las propuestas son los siguientes:

  • IKE e IPsec usan conjuntos de propuestas.

    El servidor selecciona una propuesta predefinida del conjunto de propuestas y la envía al cliente, junto con el valor predeterminado de tiempo de espera de reclave.

  • IKE usa un conjunto de propuestas y IPsec usa una propuesta personalizada.

    El servidor envía una propuesta de IKE predefinida desde la propuesta de IKE configurada establecida al cliente, junto con el valor predeterminado de tiempo de espera de reclave. Para IPsec, el servidor envía la configuración configurada en la propuesta de IPsec.

  • IKE usa una propuesta personalizada y IPsec usa un conjunto de propuestas.

    El servidor envía una propuesta de IPsec predefinida desde la propuesta IPsec configurada establecida al cliente, junto con el valor predeterminado de tiempo de espera de reclave. Para IKE, el servidor envía la configuración configurada en la propuesta de IKE.

Si IPsec utiliza un conjunto de propuestas estándar y no se configura el secreto de reenvío perfecto (PFS), entonces el valor predeterminado de Perfect Forward Secrecy (PFS) es group2. Para otros conjuntos de propuestas, PFS no se establecerá, ya que no está configurado. Además, para el conjunto de propuestas IPsec, la configuración de la group política perfect-forward-secrecy keys ipsec anula la configuración del grupo Diffie-Hellman (DH) en los conjuntos de propuestas.

Dado que el cliente solo acepta una propuesta para negociar el establecimiento de túnel con el servidor, el servidor selecciona internamente una propuesta del conjunto de propuestas que se va a enviar al cliente. La propuesta seleccionada para cada conjunto se enumera de la siguiente manera:

Para ICR

  • Básico a nivel de sec: clave previamente compartida, g1, des, sha1

  • Compatible con sec-level: clave previamente compartida, g2, 3des, sha1

  • Estándar de nivel sec: clave previamente compartida, g2, aes128, sha1

Para IPsec

  • Básico a nivel de sec: esp, sin pfs (si no está configurado) o groupx (si está configurado), des, sha1

  • Compatible con sec-level: esp, sin pfs (si no está configurado) o groupx (si está configurado), 3des, sha1

  • Estándar de nivel sec: esp, g2 (si no está configurado) o groupx (si está configurado), aes128, sha1

Descripción general de la configuración dinámica de VPN

La VPN dinámica le permite proporcionar acceso IPsec para usuarios remotos a una puerta de enlace en un dispositivo de Juniper Networks. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Hay dos casos a tener en cuenta cuando se configura una VPN dinámica:

  • Cuando los usuarios se configuran localmente, se configuran en el nivel de jerarquía [edit access profile profile-name client client-name] y se organizan en grupos de usuarios mediante la client-group opción de configuración.

  • Los usuarios se pueden configurar en un servidor de autenticación externo, como un servidor RADIUS. Los usuarios configurados en un servidor de autenticación externo no necesitan configurarse en el nivel de jerarquía [edit access profile profile-name].

Para los usuarios configurados localmente, el grupo de usuarios debe especificarse en la configuración de VPN dinámica para que un usuario pueda asociarse con una configuración de cliente. Especifique un grupo de usuarios con la user-groups opción en el nivel de jerarquía [edit security dynamic-vpn clients configuration-name].

Cuando se autentica un usuario, el grupo de usuarios se incluye en la respuesta de autenticación. Esta información se extrae y se buscan grupos de usuarios configurados en el nivel de jerarquía [edit security dynamic-vpn clients configuration-name] para determinar qué configuración de cliente recuperar y devolver al cliente para el establecimiento de túnel.

Si un usuario está asociado con más de un grupo de usuarios, se utilizará la primera configuración de grupo de usuarios coincidente. Si un usuario crea una segunda conexión, se usa la siguiente configuración de grupo de usuarios coincidente. Las conexiones de usuario subsiguientes utilizan la siguiente configuración de grupo de usuarios coincidente hasta que no haya más configuraciones coincidentes.

El siguiente procedimiento enumera las tareas para configurar VPN dinámicas.

  1. Configure la autenticación y la asignación de direcciones para los clientes remotos:

    1. Configure un perfil XAuth para autenticar a los usuarios y asignar direcciones. Se puede utilizar la autenticación local o un servidor RADIUS externo. Utilice la profile instrucción de configuración en el nivel de jerarquía [edit access] para configurar el perfil XAuth.

    2. Asigne direcciones IP desde un grupo de direcciones local si se utiliza la autenticación local. Utilice la instrucción de address-assignment pool configuración en el nivel de jerarquía [edit access]. Se puede especificar una subred o un intervalo de direcciones IP. También se pueden especificar direcciones IP para servidores DNS y WINS.

  2. Configure el túnel VPN:

    1. Configure la política de IKE. El modo debe ser agresivo. Se pueden utilizar conjuntos de propuestas básicas, compatibles o estándar. Solo se admiten claves previamente compartidas para la autenticación de fase 1. Utilice la instrucción de policy configuración en el nivel de jerarquía [edit security ike].

    2. Configure la puerta de enlace IKE. Se pueden usar los IKE compartidos o de grupo. Puede configurar el número máximo de conexiones simultáneas a la puerta de enlace. Utilice la instrucción de gateway configuración en el nivel de jerarquía [edit security ike].

    3. Configure la VPN IPsec. Los conjuntos de propuestas básicas, compatibles o estándar se pueden especificar con la policy instrucción de configuración en el nivel de jerarquía [edit security ipsec]. Utilice la vpn instrucción de configuración en el nivel de jerarquía [edit security ipsec] para configurar la puerta de enlace IPsec y la política.

      Se puede realizar una comprobación de configuración para comprobar que todos los parámetros IKE e IPsec necesarios para vpn dinámica están configurados correctamente. Si la configuración no es válida para IKE o IPsec, se mostrará un mensaje de error. Active la comprobación de configuración con el set security dynamic-vpn config-check comando.

    4. Configure una política de seguridad para permitir el tráfico de los clientes remotos a la puerta de enlace IKE. Utilice la instrucción de policy configuración en el nivel de jerarquía [edit security policies from-zone zone to-zone zone].

      Configure la política de seguridad con los criterios source-address anyde coincidencia , destination-address anyy application any la acción permit tunnel ipsec-vpn con el nombre del túnel VPN dinámico. Coloque esta política al final de la lista de políticas.

    5. Configure el tráfico entrante del host para permitir que el tráfico específico llegue al dispositivo desde sistemas conectados a sus interfaces. Por ejemplo, se debe permitir el tráfico de IKE y HTTPS. Consulte Descripción de cómo controlar el tráfico entrante según los tipos de tráfico.

    6. (Opcional) Si el grupo de direcciones del cliente pertenece a una subred que está conectada directamente al dispositivo, el dispositivo tendría que responder a las solicitudes ARP a direcciones del grupo desde otros dispositivos de la misma zona. Utilice la instrucción de proxy-arp configuración en el nivel de jerarquía [edit security nat]. Especifique la interfaz que conecta directamente la subred con el dispositivo y las direcciones del grupo.

  3. Asocie la VPN dinámica con clientes remotos:

    1. Especifique el perfil de acceso para su uso con VPN dinámica. Utilice la instrucción de access-profile configuración en el nivel de jerarquía [edit security dynamic-vpn].

    2. Configure los clientes que pueden usar la VPN dinámica. Especifique recursos protegidos (el tráfico al recurso protegido viaja a través del túnel VPN dinámico especificado y, por lo tanto, está protegido por las políticas de seguridad del firewall) o excepciones a la lista de recursos protegidos (tráfico que no viaja a través del túnel VPN dinámico y se envía en texto claro). Estas opciones controlan las rutas que se insertan al cliente cuando el túnel está activo, por lo tanto, controla el tráfico que se envía a través del túnel. Utilice la instrucción de clients configuración en el nivel de jerarquía [edit security dynamic-vpn].

  4. Para registrar mensajes VPN dinámicos, configure la traceoptions instrucción en el nivel de jerarquía [edit security dynamic-vpn].

Descripción de la autenticación local y la asignación de direcciones

Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM. Una aplicación cliente puede solicitar una dirección IP en nombre de un cliente. Esta solicitud se realiza al mismo tiempo que la solicitud de autenticación del cliente. Tras la autenticación correcta del cliente, se puede asignar una dirección IP al cliente desde un grupo de direcciones predefinido o se puede asignar una dirección IP específica. Otros atributos, como WINS o direcciones IP del servidor DNS, también se pueden proporcionar al cliente.

Los grupos de direcciones se definen con la pool instrucción de configuración en el nivel de jerarquía [edit access address-assignment]. Una definición de conjunto de direcciones contiene información de red (dirección IP con máscara de red opcional), definiciones de intervalo opcionales y atributos DHCP o XAuth que se pueden devolver al cliente. Si se asignan todas las direcciones de un grupo, se producirá un error en una nueva solicitud de dirección de cliente, incluso si el cliente se autentica correctamente.

Los perfiles de acceso se definen con la profile instrucción de configuración en la jerarquía [edit access]. Se puede hacer referencia a un grupo de direcciones definido en una configuración de perfil de acceso.

También puede enlazar una dirección IP específica a un cliente en un perfil de acceso con la xauth ip-address address opción. La dirección IP debe estar en el intervalo de direcciones especificado en el conjunto de direcciones. También debe ser diferente de la dirección IP especificada con la host instrucción de configuración en el nivel de jerarquía [edit access profile address-assignment pool pool-name family inet]. Para cualquier aplicación, si se ha asignado una dirección IP, no se reasignará de nuevo hasta que se libere.

Descripción de los IKE compartidos y de grupo

Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM. Con la VPN dinámica, se utiliza un ID único de intercambio de claves por internet (IKE) para cada conexión de usuario. Cuando hay un gran número de usuarios que necesitan acceder a la VPN, configurar una puerta de enlace IKE individual, una VPN IPsec y una política de seguridad para cada usuario puede ser engorroso. El ID de IKE del grupo y las funciones de ID de IKE compartidas permiten que varios usuarios compartan una configuración de puerta de enlace IKE, lo que reduce el número de configuraciones VPN necesarias.

Recomendamos que configure los ID de IKE de grupo para implementaciones VPN dinámicas, ya que los ID de IKE de grupo proporcionan una clave única previamente compartida y un ID de IKE para cada usuario.

En este tema se incluyen las siguientes secciones:

IKE de grupo

Cuando se configuran los ID de IKE de grupo, el ID de IKE de cada usuario es una concatenación de una parte específica del usuario y una parte que es común a todos los usuarios del ID de IKE del grupo. Por ejemplo, el usuario Bob podría usar "Bob.example.net" como su ID de IKE completo, donde ".example.net" es común para todos los usuarios. El ID de IKE completo se utiliza para identificar de forma exclusiva cada conexión de usuario.

Aunque los ID de IKE de grupo no requieren XAuth, la VPN dinámica requiere XAuth para recuperar atributos de red como direcciones IP de cliente. Se muestra una advertencia si XAuth no está configurado para una VPN dinámica que usa IKE de grupo.

Recomendamos que los usuarios usen las mismas credenciales para la autenticación WebAuth y XAuth cuando se configuran los ID de IKE de grupo.

Varios usuarios pueden usar el mismo ID de IKE de grupo, pero un solo usuario no puede usar el mismo ID de IKE de grupo para distintas conexiones. Si un usuario necesita tener conexiones de diferentes clientes remotos, debe tener configurados ID de IKE de grupo diferentes, uno para cada conexión. Si un usuario solo tiene configurado un ID de IKE de grupo e intenta una segunda conexión desde otra PC, la primera conexión se finalizará para permitir que la segunda conexión pase.

Para configurar un ID de IKE de grupo:

  • Configurar ike-user-type group-ike-id en el nivel de jerarquía [edit security ike gateway gateway-name dynamic].

  • Configure la hostname instrucción de configuración en el nivel de jerarquía [edit security ike gateway gateway-name dynamic]. Esta configuración es la parte común del ID de IKE completo para todos los usuarios.

  • Configure la instrucción de pre-shared-key configuración en el nivel de jerarquía [edit security ike policy policy-name]. La clave previamente compartida configurada se utiliza para generar la clave real previamente compartida.

IDs de ICR compartidos

Cuando se configura un ID de IKE compartido, todos los usuarios comparten un único ID de IKE y una sola clave previamente compartida. Cada usuario se autentica mediante la fase de XAuth obligatoria, donde se verifican las credenciales de usuarios individuales con un servidor RADIUS externo o con una base de datos de acceso local. XAuth es necesario para los IDs de IKE compartidos.

El nombre de usuario XAuth junto con el ID de IKE compartido configurado se utiliza para distinguir entre diferentes conexiones de usuario. Dado que el nombre de usuario se usa para identificar cada conexión de usuario, tanto el nombre de usuario webAuth como el nombre de usuario XAuth deben ser los mismos.

Varios usuarios pueden usar el mismo ID de IKE compartido, pero un solo usuario no puede usar el mismo ID de IKE compartido para distintas conexiones. Si un usuario necesita tener conexiones de diferentes clientes remotos, debe tener diferentes ID de IKE compartidos configurados, uno para cada conexión. Si un usuario solo tiene configurado un ID de IKE compartido e intenta una segunda conexión desde otro cliente, la primera conexión se terminará para permitir que pase la segunda conexión. Además, dado que el nombre de usuario es necesario para identificar cada conexión de usuario junto con el ID de IKE, el usuario debe usar las mismas credenciales para la autenticación WebAuth y XAuth.

Para configurar un ID de IKE compartido:

  • Configurar ike-user-type shared-ike-id en el nivel de jerarquía [edit security ike gateway gateway-name dynamic].

  • Configure la instrucción de hostname configuración en el nivel de jerarquía [edit security ike gateway gateway-name dynamic]. Todos los usuarios configurados en el perfil de acceso VPN dinámico comparten el nombre de host configurado.

  • Configure la instrucción de pre-shared-key configuración en el nivel de jerarquía [edit security ike policy policy-name]. Todos los usuarios configurados en el perfil de acceso VPN dinámico comparten la clave previamente compartida configurada.

Ejemplo: Configuración de VPN dinámica

En este ejemplo, se muestra cómo configurar una VPN dinámica en un dispositivo de Juniper Networks para proporcionar acceso VPN a clientes remotos. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Requisitos

Antes de comenzar:

  1. Configure interfaces de red en el dispositivo. Consulte Guía del usuario de interfaces para dispositivos de seguridad.

  2. Cree zonas de seguridad y asigne interfaces a ellas. Consulte "Descripción de zonas de seguridad" en la página 111.

  3. Si habrá más de dos conexiones de usuario simultáneas, instale una licencia vpn dinámica en el dispositivo. Consulte Guía de instalación y actualización de software.

Descripción general

Un escenario de implementación común para VPN dinámica es proporcionar acceso VPN a clientes remotos que están conectados a través de una red pública como Internet. Se asigna una dirección IP pública a una de las interfaces de la puerta de enlace; esta interfaz normalmente forma parte de la zona de desconfianza. Después de instalar el software del cliente, el usuario remoto puede acceder a la VPN iniciando sesión en el portal web o iniciando el cliente directamente. En cualquier caso, el cliente remoto se autentica con el dispositivo de la serie SRX y descarga la configuración más reciente disponible.

Figura 2 ilustra esta topología de despliegue. La interfaz ge-0/0/15.0 en el dispositivo de la serie SRX es el punto de terminación del túnel VPN dinámico. Los clientes remotos de la zona de desconfianza acceden a la interfaz ge-0/0/15.0 a través de un cliente Pulse Secure.

Figura 2: Topología de despliegue de VPN dinámicaTopología de despliegue de VPN dinámica

En este ejemplo, la autenticación de cliente XAuth se realiza localmente y se asignan direcciones IP de cliente desde un grupo de direcciones configurado en el dispositivo de la serie SRX. Consulte Tabla 1.

A continuación, se utilizan conjuntos de propuestas estándar para las negociaciones de IKE e IPsec. Para túneles VPN dinámicos, se debe configurar el modo agresivo y solo se admiten claves previamente compartidas para la autenticación de fase 1. Se utiliza un ID de IKE de grupo y el número máximo de conexiones se establece en 10. Dado que las VPN dinámicas deben ser VPN basadas en políticas, se debe configurar una política de seguridad para reenviar tráfico al túnel. Se debe permitir el tráfico IKE y HTTPS para el tráfico entrante del host.Consulte Tabla 2.

Por último, se especifica el perfil XAuth configurado para clientes remotos para la VPN dinámica. Los usuarios remotos se asocian con la VPN IPsec configurada. También configurados son recursos protegidos remotos (las direcciones de destino del tráfico que siempre se envía a través del túnel) y excepciones remotas (las direcciones de destino del tráfico que se envían en texto sin formato en lugar de a través del túnel). Consulte Tabla 3.

Tabla 1: Autenticación de cliente remoto y configuración de asignación de direcciones

Característica

Nombre

Parámetros de configuración

Grupo de direcciones IP

dyn-vpn-address-pool

  • Direcciones: 10.10.10.0/24

  • Dirección del servidor DNS: 192.0.2.1/32.

Perfil XAuth

dyn-vpn-access-profile

  • Nombre de usuario del cliente remoto: 'client1' con contraseña $ABC 123

  • Nombre de usuario del cliente remoto: 'client2' con contraseña $ABC 456

  • Referencia del conjunto de direcciones IP: dyn-vpn-address-pool

  • Este perfil es el perfil predeterminado para la autenticación web.

Tabla 2: Parámetros de configuración de túnel VPN

Característica

Nombre

Parámetros de configuración

Política de ICR (fase 1)

ike-dyn-vpn-policy

  • Modo: Agresivo

  • Conjunto de propuestas: Estándar

  • Clave previamente compartida: (ASCII) $ABC 789

Puerta de enlace IKE (fase 1)

dyn-vpn-local-gw

  • Referencia de política de ICR: ike-dyn-vpn-policy

  • Nombre de host dinámico: dynvpn

  • Tipo de usuario ICR: ID de IKE del grupo

  • Número máximo de conexiones simultáneas: 10

  • Interfaz externa: ge-0/0/15.0

  • Referencia de perfil de acceso: dyn-vpn-access-profile

Política IPsec (fase 2)

ipsec-dyn-vpn-policy

Conjunto de propuestas: Estándar

VPN IPsec (fase 2)

dyn-vpn

  • Referencia de puerta de enlace ICR: dyn-vpn-local-gw

  • Referencia de política IPsec: ipsec-dyn-vpn-policy

Política de seguridad (permite el tráfico desde la zona de desconfianza hasta la zona de confianza)

dyn-vpn-policy

  • Criterios de coincidencia:

    • dirección de origen de cualquier

    • dirección de destino de cualquier

    • aplicación a cualquier

  • Permitir acción: túnel ipsec-vpn dyn-vpn

Host de tráfico entrante

Permita los siguientes tipos de tráfico a la interfaz ge-0/0/15.0 en la zona de desconfianza:

  • ICR

  • HTTPS

  • Señal

Tabla 3: Configuración de VPN dinámica para clientes remotos

Característica

Nombre

Parámetros de configuración

Perfil de acceso para clientes remotos

Referencia de perfil de acceso: dyn-vpn-access-profile

Clientes remotos

todo

  • Referencia de VPN IPsec: dyn-vpn

  • Referencia de nombre de usuario: cliente1 y cliente2

  • Recursos protegidos remotos: 10.0.0.0/8

  • Excepciones remotas: 0.0.0.0/0

Configuración

Configuración de la autenticación de usuario remoto y la asignación de direcciones

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar la autenticación de usuario remoto y la asignación de direcciones:

  1. Cree el grupo de asignación de direcciones.

  2. Configure el perfil XAuth.

  3. Configure la autenticación web mediante el perfil XAuth.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show access configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del túnel VPN

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el túnel VPN:

  1. Configure la política de IKE.

  2. Configure la puerta de enlace IKE.

  3. Configure IPsec.

  4. Configure la política de seguridad.

  5. Configure el tráfico entrante del host.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show security ikecomandos , show security ipsec, show security policiesy show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Asocie la VPN dinámica con clientes remotos

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para asociar la VPN dinámica con clientes remotos:

  1. Especifique el perfil de acceso que se usará con VPN dinámica.

  2. Configure los clientes que pueden usar la VPN dinámica.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security dynamic-vpn configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para supervisar túneles VPN IPsec tradicionales. Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el estado de la fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR de las asociaciones de seguridad.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Verificar clientes conectados y direcciones asignadas

Propósito

Compruebe que los clientes remotos y las direcciones IP asignadas estén usando XAuth.

Acción

Desde el modo operativo, ingrese el show security ike active-peer comando.

Verificar el estado de la fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec de las asociaciones de seguridad.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando.

Verificar conexiones y parámetros simultáneos para cada usuario

Propósito

Compruebe el número de conexiones simultáneas y los parámetros negociados para cada usuario.

Acción

Desde el modo operativo, ingrese el show security dynamic-vpn users comando.

Ejemplo: Configuración de la autenticación local y el grupo de direcciones

En este ejemplo, se muestra cómo crear un grupo de direcciones y cómo asignar direcciones IP de cliente en un perfil de acceso. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Requisitos

Antes de comenzar, configure los servidores DNS y WINS principales y secundarios y asígneles direcciones IP.

Descripción general

En este ejemplo, se crea un grupo xauth1 de direcciones que consta de las direcciones IP en la subred 192.0.2.0/24. El xauth1 grupo también asigna direcciones IP para servidores DNS y WINS primarios y secundarios.

El perfil de dvpn-auth acceso hace referencia al grupo xauth1. El dvpn-auth perfil de acceso configura dos clientes:

  • Jason: La dirección IP 192.0.2.1 está enlazada a este cliente. Tras la autenticación correcta, al cliente se le asigna la dirección IP 192.0.2.1. Si el cliente inicia sesión de nuevo antes de cerrar la sesión, al cliente se le asigna una dirección IP del grupo xauth1.

  • Jacky: Tras la autenticación correcta, al cliente se le asigna una dirección IP del grupo xauth1.

Además, el perfil de dvpn-auth acceso especifica que se usa la autenticación de contraseña para comprobar los clientes al iniciar sesión. Se pueden especificar métodos de autenticación adicionales; el software intenta los métodos de autenticación para, de primero a último, para cada intento de inicio de sesión del cliente.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar un grupo de direcciones y un perfil de acceso que utilice el grupo de direcciones:

  1. Cree el conjunto de direcciones.

  2. Configure el perfil de acceso.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show access configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la asignación de direcciones

Propósito

Verifique la asignación de direcciones. Para XAuth, la dirección de hardware siempre se muestra como NA. Si se asigna una dirección IP estática a un usuario específico, el nombre de usuario y el nombre de perfil (en el formato user@profile) se muestra en la columna "Host/Usuario". Si a un cliente se le asigna una dirección IP del grupo, se mostrará el nombre de usuario; si el nombre de usuario no existe, se muestra NA. Para otras aplicaciones (por ejemplo, DHCP), el nombre de host se muestra si está configurado; si el nombre de host no está configurado, se muestra NA.

Acción

Desde el modo operativo, ingrese el show network-access address-assignment pool comando.

Ejemplo: Configuración de un ID de IKE de grupo para varios usuarios

En este ejemplo, se muestra cómo configurar un ID de IKE de grupo que utilizan varios usuarios. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Requisitos

Antes de comenzar:

Descripción general

En este ejemplo, configure dos usuarios de VPN dinámicas remotas que utilizan un único ID de IKE y una sola clave previamente compartida (consulte Tabla 4 y Tabla 5). Un servidor RADIUS externo se utiliza para autenticar usuarios y asignar direcciones IP a clientes (consulte Tabla 6).

Tabla 4: Parámetros de configuración de túnel VPN de ID de IKE de grupo

Característica

Nombre

Parámetros de configuración

Política de ICR (fase 1)

grupo clientpol

  • Modo: Agresivo

  • Conjunto de propuestas: Compatibles

  • Clave previamente compartida: (ASCII) para todos los que están en el perfil de acceso

Puerta de enlace IKE (fase 1)

groupgw

  • Referencia de política de ICR: grupo clientpol

  • Nombre de host dinámico: example.net

  • Tipo de usuario ICR: ID de IKE del grupo

  • Número máximo de conexiones simultáneas: 50

  • Interfaz externa: ge-0/0/0.0

  • Referencia de perfil de acceso: perfil de radio

Política IPsec (fase 2)

client1vpnPol

Conjunto de propuestas: Compatibles

VPN IPsec (fase 2)

groupvpn

  • Referencia de puerta de enlace ICR: groupgw

  • Referencia de política IPsec: client1vpnPol

Política de seguridad (permite el tráfico desde la zona de desconfianza hasta la zona de confianza)

group-sec-policy

  • Criterios de coincidencia:

    • dirección de origen de cualquier

    • dirección de destino de cualquier

    • aplicación a cualquier

  • Permitir acción: túnel ipsec-vpn groupvpn

Host de tráfico entrante

Permita los siguientes tipos de tráfico a la interfaz ge-0/0/0.0 en la zona de desconfianza:

  • ICR

  • HTTPS

  • Señal

  • SSH

Tabla 5: Configuración de VPN dinámica de ID de IKE de grupo para clientes remotos

Característica

Nombre

Parámetros de configuración

Perfil de acceso para clientes remotos

Referencia de perfil de acceso: perfil de radio

Clientes remotos

groupcfg

  • Referencia de VPN IPsec: groupvpn

  • Referencia de nombre de usuario: derek y Chris

  • Recursos protegidos remotos: 10.100.100.0/24

  • Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Tabla 6: Autenticación de usuario del servidor RADIUS (ID de IKE de grupo)

Característica

Nombre

Parámetros de configuración

Perfil XAuth

perfil de radio

  • RADIUS es el método de autenticación que se usa para comprobar las credenciales del usuario.

  • La dirección IP del servidor RADIUS es 10.100.100.250 y la contraseña es "$ABC 123".

  • Este perfil es el perfil predeterminado para la autenticación web.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar un ID de IKE de grupo para varios usuarios:

  1. Configure el perfil XAuth.

  2. Configure la política de IKE.

  3. Configure la puerta de enlace IKE.

  4. Configure IPsec.

  5. Configure la política de seguridad.

  6. Configure el tráfico entrante del host.

  7. Especifique el perfil de acceso que se usará con VPN dinámica.

  8. Configure los clientes que pueden usar la VPN dinámica.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show security ikecomandos , show security ipsec, show security policies, show security zonesy show security dynamic-vpn . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para supervisar túneles VPN IPsec tradicionales. Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el estado de la fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR de las asociaciones de seguridad.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Verificar clientes conectados y direcciones asignadas

Propósito

Compruebe que los clientes remotos y las direcciones IP asignadas estén usando XAuth.

Acción

Desde el modo operativo, ingrese el show security ike active-peer comando.

Verificar el estado de la fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec de las asociaciones de seguridad.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando.

Verificar conexiones y parámetros simultáneos para cada usuario

Propósito

Compruebe el número de conexiones simultáneas y los parámetros negociados para cada usuario.

Acción

Desde el modo operativo, ingrese el show security dynamic-vpn users comando.

Ejemplo: Configuración de IKE individuales para varios usuarios

En este ejemplo, se muestra cómo configurar los IKE individuales para varios usuarios. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Cuando hay un gran número de usuarios que necesitan acceder a la VPN, configurar una puerta de enlace IKE individual, una VPN IPsec y una política de seguridad para cada usuario puede ser engorroso. La función de ID de IKE de grupo permite que varios usuarios compartan una configuración de puerta de enlace IKE, lo que reduce el número de configuraciones VPN necesarias.

Requisitos

Antes de comenzar:

Descripción general

En el ejemplo siguiente se muestra la configuración de dos usuarios de VPN dinámicos remotos. Para cada usuario, se debe configurar una política y una puerta de enlace de IKE, una política IPsec y una VPN, y una política de seguridad (consulte Tabla 7 y Tabla 8). Un servidor RADIUS externo se utiliza para autenticar usuarios y asignar direcciones IP a clientes (consulte Tabla 9).

Tabla 7: Parámetros de configuración del cliente 1

Característica

Nombre

Parámetros de configuración

Política de ICR (fase 1)

client1pol

  • Modo: Agresivo

  • Conjunto de propuestas: Compatibles

  • Clave previamente compartida: (ASCII) para el cliente1

Puerta de enlace IKE (fase 1)

client1gw

  • Referencia de política de ICR: client1pol

  • Nombre de host dinámico: example.net

  • Interfaz externa: ge-0/0/0.0

  • Referencia de perfil de acceso: perfil de radio

Política IPsec (fase 2)

client1vpnPol

Conjunto de propuestas: Compatibles

VPN IPsec (fase 2)

client1vpn

  • Referencia de puerta de enlace ICR: cliente1gw

  • Referencia de política IPsec: client1vpnPol

Política de seguridad (permite el tráfico desde la zona de desconfianza hasta la zona de confianza)

client1-policy

  • Criterios de coincidencia:

    • dirección de origen de cualquier

    • dirección de destino de cualquier

    • aplicación a cualquier

  • Permitir acción: túnel ipsec-vpn client1vpn

Host de tráfico entrante

Permita los siguientes tipos de tráfico a la interfaz ge-0/0/0.0 en la zona de desconfianza:

  • ICR

  • HTTPS

  • Señal

  • SSH

Perfil de acceso para clientes remotos

Referencia de perfil de acceso: perfil de radio

Clientes remotos

cfg1

  • Referencia de VPN IPsec: client1vpn

  • Referencia de nombre de usuario: Derek

  • Recursos protegidos remotos: 10.100.100.0/24

  • Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Tabla 8: Parámetros de configuración del cliente 2

Característica

Nombre

Parámetros de configuración

Política de ICR (fase 1)

client2pol

  • Modo: Agresivo

  • Conjunto de propuestas: Compatibles

  • Clave previamente compartida: (ASCII) para el cliente2

Puerta de enlace IKE (fase 1)

client2gw

  • Referencia de política de ICR: client2pol

  • Nombre de host dinámico: example.net

  • Interfaz externa: ge-0/0/0.0

  • Referencia de perfil de acceso: perfil de radio

Política IPsec (fase 2)

client2vpnPol

Conjunto de propuestas: Compatibles

VPN IPsec (fase 2)

client2vpn

  • Referencia de puerta de enlace ICR: cliente2gw

  • Referencia de política IPsec: client2vpnPol

Política de seguridad (permite el tráfico desde la zona de desconfianza hasta la zona de confianza)

client2-policy

  • Criterios de coincidencia:

    • dirección de origen de cualquier

    • dirección de destino de cualquier

    • aplicación a cualquier

  • Permitir acción: túnel ipsec-vpn client2vpn

Host de tráfico entrante

Permita los siguientes tipos de tráfico a la interfaz ge-0/0/0.0 en la zona de desconfianza:

  • ICR

  • HTTPS

  • Señal

  • SSH

Perfil de acceso para clientes remotos

Referencia de perfil de acceso: perfil de radio

Clientes remotos

cfg2

  • Referencia de VPN IPsec: client2vpn

  • Referencia de nombre de usuario: Chris

  • Recursos protegidos remotos: 10.100.100.0/24

  • Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24

Tabla 9: Autenticación de usuario del servidor RADIUS (ID de IKE individual)

Característica

Nombre

Parámetros de configuración

Perfil XAuth

perfil de radio

  • RADIUS es el método de autenticación que se usa para comprobar las credenciales del usuario.

  • La dirección IP del servidor RADIUS es 10.100.100.250 y la contraseña es "$ABC 123".

  • Este perfil es el perfil predeterminado para la autenticación web.

Configuración

Configuración del perfil XAuth

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el perfil XAuth:

  1. Configure el perfil de acceso.

  2. Configure la autenticación web mediante el perfil XAuth.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show access configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del cliente 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar vpn dinámica para un solo usuario:

  1. Configure la política de IKE.

  2. Configure la puerta de enlace IKE.

  3. Configure IPsec.

  4. Configure la política de seguridad.

  5. Configure el tráfico entrante del host.

  6. Especifique el perfil de acceso que se usará con VPN dinámica.

  7. Configure los clientes que pueden usar la VPN dinámica.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show security ikecomandos , show security ipsec, show security policies, show security zonesy show security dynamic-vpn . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del cliente 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar vpn dinámica para un solo usuario:

  1. Configure la política de IKE.

  2. Configure la puerta de enlace IKE.

  3. Configure IPsec.

  4. Configure la política de seguridad.

  5. Configure el tráfico entrante del host.

  6. Especifique el perfil de acceso que se usará con VPN dinámica.

  7. Configure los clientes que pueden usar la VPN dinámica.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show security ikecomandos , show security ipsec, show security policies, show security zonesy show security dynamic-vpn . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para supervisar túneles VPN IPsec tradicionales. Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el estado de la fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR de las asociaciones de seguridad.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando.

Verificar clientes conectados y direcciones asignadas

Propósito

Compruebe que los clientes remotos y las direcciones IP asignadas estén usando XAuth.

Acción

Desde el modo operativo, ingrese el show security ike active-peer comando.

Verificar el estado de la fase 2 de IPsec

Propósito

Compruebe el estado de fase 2 de IPsec de las asociaciones de seguridad.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando.

Verificar conexiones y parámetros simultáneos para cada usuario

Propósito

Compruebe el número de conexiones simultáneas y los parámetros negociados para cada usuario.

Acción

Desde el modo operativo, ingrese el show security dynamic-vpn users comando.