Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN dinámicas con clientes de pulsos seguros

La VPN dinámica permite a los clientes de pulsos seguros establecer túneles VPN de IPsec con puertas de enlace de servicios SRX sin tener que configurar manualmente las conexiones VPN en sus equipos. La autenticación de usuario se admite a través de un servidor RADIUS o un conjunto local de direcciones IP.

Puede obtener software de cliente seguro de pulsos en el sitio Juniper Networks download software en https://www.Juniper.net/support/downloads/?p=Pulse#sw.

Introducción a VPN dinámico

Un túnel VPN permite a los usuarios tener acceso de forma segura a activos como servidores de correo electrónico y servidores de aplicaciones que residen detrás de un servidor de seguridad. Los túneles VPN de extremo a sitio son particularmente útiles para los usuarios remotos, como los teletrabajanos, ya que un solo túnel permite el acceso a todos los recursos de una red: los usuarios no necesitan configurar la configuración de acceso individual para cada aplicación y servidor. Consulte Figura 1la.

Figura 1: Uso de un túnel VPN para permitir el acceso remoto a una red corporativaUso de un túnel VPN para permitir el acceso remoto a una red corporativa

La característica VPN dinámica también se conoce como VPN de acceso remoto o cliente VPN de IPSec. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM. Software de cliente seguro a pulsos se utiliza para acceso a VPN. La autenticación de usuario se puede realizar a través de un servidor de RADIUS externo o un conjunto de direcciones IP local configurado en la puerta de enlace SRX. El cliente de acceso remoto de capa 3 utiliza la configuración del lado cliente que recibe de la puerta de enlace de serie SRX para crear y administrar un túnel VPN de extremo a sitio seguro a la puerta de enlace.

Si se requieren más de dos conexiones simultáneas de usuario, debe instalarse una licencia dinámica de VPN en la puerta de enlace de serie SRX. Consulte la Guía de instalación y actualización del software para obtener información sobre la instalación y administración de licencias. El número máximo de conexiones de usuario que se admite depende del dispositivo de serie SRX.

La característica VPN dinámica está deshabilitada de forma predeterminada en el dispositivo. Para habilitar VPN dinámico, debe configurar la característica mediante la dynamic-vpn instrucción de configuración en el niveledit securityde jerarquía [].

Descripción de la compatibilidad con túneles de VPN dinámicos

Los túneles VPN dinámicos se configuran del mismo modo que los túneles VPN tradicionales. Sin embargo, no se admiten todas las opciones de IPsec VPN. Esta característica es compatible con SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550, SRX550HM y dispositivos de SRX650.

En la lista siguiente se describen los requisitos y las opciones compatibles al configurar túneles VPN dinámicos:

  • Solo se admiten VPN basadas en Directiva. Las VPN basadas en la ruta no son compatibles con túneles VPN dinámicos. No se admiten protocolos de enrutamiento.

  • Solo se admite IKEv1. No se admite IKEv2.

  • Solo se admite el tráfico IPv4 y los túneles IPv4 en IPv4. No se admite el tráfico IPv6 ni los túneles.

  • Solo se admiten claves previamente compartidas para la autenticación. PKI no es compatible.

  • El modo agresivo se admite para intercambios ICR fase 1. No se admite el modo principal.

  • El tráfico VPN sólo puede iniciarse desde el cliente remoto. No se admite el tráfico VPN iniciado desde la puerta de enlace SRX.

  • Se admite la detección de pares de inactivos (DPD). No se admite la supervisión de VPN.

  • Se admite la autenticación extendida (XAuth) con la configuración de modo.

  • Se admite la autenticación desde un perfil local. Los atributos se pueden proporcionar desde un conjunto local de direcciones. La autenticación y los atributos se pueden proporcionar desde un servidor RADIUS.

  • Se admiten clústeres de chasis.

  • TDR-T es compatible.

  • Se admite ICR en enrutadores virtuales o en instancias de enrutamiento y reenvío virtuales.

  • No se admite AutoVPN.

  • No se admite la inserción automática de rutas (ARI).

  • Se requieren derechos de administrador para instalar software cliente de pulsos, se requieren derechos de administrador.

  • Es necesario volver a autenticar a los usuarios durante ICR reclaves de la fase 1. El tiempo de regeneración de claves es configurable.

Los identificadores de ICR de grupo o compartidos se pueden utilizar para configurar una sola VPN compartida por todos los clientes remotos. Cuando se comparte una sola VPN, el número total de conexiones simultáneas a la puerta de enlace o Gateway no puede ser mayor que el número de licencias de VPN dinámicas instaladas. Cuando configure una puerta de enlace de ID ICR de grupo o compartida, puede configurar el número máximo de conexiones que serán mayores que el número de licencias de VPN dinámicas instaladas. Sin embargo, si una conexión nueva supera el número de conexiones con licencia, se rechazará la conexión. Puede ver la información de licencias de VPN dinámicas con el show system license usage comando.

Descripción del acceso de clientes remotos a la VPN

Una implementación de VPN dinámica común consiste en proporcionar acceso VPN a los clientes remotos conectados a través de una red pública, como Internet. El acceso a IPsec se proporciona a través de una puerta de enlace en el dispositivo Juniper Networks. Software de cliente seguro a pulsos se utiliza para acceso a VPN. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.

Puede obtener software de cliente seguro de pulsos en el sitio Juniper Networks download software en https://www.Juniper.net/support/downloads/?p=Pulse#sw.

A continuación, se describe el proceso de un cliente remoto seguro a pulsos para acceder a la VPN:

Para obtener instrucciones detalladas acerca de cómo conectar el programa cliente remoto al dispositivo de serie SRX, consulte KB17641. Consulte también la documentación segura de pulsos para obtener información del cliente actual.

  1. El usuario descarga e instala el software cliente seguro de pulsos en el dispositivo.

  2. El usuario inicia el programa cliente remoto de pulsos seguros.

    En el programa cliente remoto seguro por pulsos, el usuario hace lo siguiente:

    1. Haga Add connectionclic en.

    2. En Tipo, seleccione Firewall (SRX) .

    3. Escriba el nombre de host de la puerta de enlace SRX.

      En el dispositivo serie SRX, este nombre de host está configurado set security ike gateway gateway-name dynamic hostname hostname con el comando. El administrador SRX debe proporcionar el nombre de host a los usuarios remotos.

    4. En nombre de dirección URL del servidor, escriba la dirección IP de la puerta de enlace SRX.

      En el dispositivo de serie SRX, esta dirección IP es la dirección IP de external-interface la configurada con el set security ike gateway gateway-name comando. El administrador SRX debe proporcionar la dirección IP a los usuarios remotos.

  3. Haga clic Add en y, a continuación, en Connect . El programa cliente remoto de pulsos seguros se conecta con el serie SRX mediante HTTPS.

  4. Escriba su nombre de usuario y contraseña cuando se le solicite. La información de configuración se descarga desde el dispositivo de serie SRX al cliente remoto para permitir que el cliente establezca una asociación ICR SA con el dispositivo serie SRX.

  5. Si está accediendo a una VPN dinámica por primera vez, vuelva a especificar sus credenciales de usuario para establecer una asociación de IPsec. Se asigna una dirección IP al cliente remoto desde un conjunto de direcciones locales o desde un servidor de RADIUS externo.

    Las credenciales de usuario que se introducen en el paso 4 se utilizan para descargar la configuración en el cliente remoto y establecer una SA ICR entre el cliente y el dispositivo serie SRX. Las credenciales de usuario que se escriben en este paso se utilizan para establecer una asociación de IPsec. Las credenciales de usuario pueden ser iguales o diferentes, en función de la configuración del dispositivo de serie SRX.

  6. Después de una autenticación y una asignación de direcciones correctas, se establece un túnel.

Conjuntos de propuestas de VPN dinámicas

Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM. La configuración de propuestas de Intercambio de claves por red personalizadas (ICR) y seguridad IP (IPsec) para las políticas ICR e IPsec puede resultar tediosa y tarda mucho tiempo si hay muchos clientes VPN dinámicos . El administrador puede seleccionar conjuntos de propuestas básicas, compatibles o estándar para clientes VPN dinámicos. Cada conjunto de propuestas consta de dos o más propuestas predefinidas. El servidor selecciona una propuesta predefinida del conjunto y la inserta en el cliente en la configuración del cliente. El cliente utiliza esta propuesta en las negociaciones con el servidor para establecer la conexión.

Los valores predeterminados para el tiempo de regeneración de claves de ICR e IPsec de Asociación de seguridad (SA) son los siguientes:

  • Para ICR SAs, el tiempo de regeneración de claves es de 28.800 segundos.

  • Para las SA de IPsec, el tiempo de regenerar claves es de 3600 segundos.

Dado que la configuración del conjunto de propuestas no permite la configuración del tiempo de espera de la regeneración de claves, estos valores se incluyen en la configuración del cliente que se envía al cliente en el momento de la descarga del cliente.

Los casos de uso básicos de las propuestas son los siguientes:

  • Tanto ICR como IPsec utilizan conjuntos de propuestas.

    El servidor selecciona una propuesta predefinida del conjunto de propuestas y lo envía al cliente, junto con el valor predeterminado de tiempo de espera de regeneración de claves.

  • ICR usa un conjunto de propuestas e IPsec utiliza una propuesta personalizada.

    El servidor envía una propuesta ICR predefinida desde el conjunto de propuestas configuradas ICR al cliente, junto con el valor predeterminado de tiempo de espera de regeneración de claves. Para IPsec, el servidor envía la configuración configurada en la propuesta de IPsec.

  • ICR usa una propuesta personalizada e IPsec utiliza un conjunto de propuestas.

    El servidor envía una propuesta IPsec predefinida desde el conjunto de propuestas IPsec configurado al cliente, junto con el valor predeterminado de tiempo de espera de regeneración de claves. Por ICR, el servidor envía la configuración configurada en la propuesta de ICR.

Si IPsec utiliza un conjunto de propuestas estándar y la confidencialidad directa perfecta (PFS) no se configura, la confidencialidad directa perfecta (PFS) predeterminada es grupo2. Para otros conjuntos de propuestas, no se establecerá PFS, ya que no se configura. Asimismo, para el conjunto de propuestas IPsec, group la configuración de la perfect-forward-secrecy keys directiva IPSec reemplaza a la configuración del grupo DIFFIE-Hellman (DH) de los conjuntos de propuestas.

Dado que el cliente acepta solo una propuesta para negociar el establecimiento del túnel con el servidor, el servidor selecciona internamente una propuesta de la propuesta establecida para enviarla al cliente. La propuesta seleccionada para cada conjunto aparece de la siguiente manera:

Para obtener ICR

  • Básico de nivel de la SEC: clave previamente compartida, G1, des, SHA1

  • Compatible con el nivel de sec: clave previamente compartida, G2, 3DES, SHA1

  • Estándar de nivel de la SEC: clave previamente compartida, G2, AES128, SHA1

Para IPsec

  • Básico de nivel de la SEC: esp, no pfs (si no está configurado) o grupox (si está configurado), des, sha1

  • Compatible con el nivel de sec: esp, no pfs (si no está configurado) o grupox (si está configurado), 3des, sha1

  • Estándar de nivel de la SEC: esp, g2 (si no está configurado) o grupox (si está configurado), aes128, sha1

Introducción a la configuración dinámica de VPN

La VPN dinámica le permite proporcionar acceso a IPsec para usuarios remotos a una puerta de enlace o Gateway en un dispositivo Juniper Networks. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.

Existen dos casos a tener en cuenta a la hora de configurar VPN dinámico:

  • Cuando los usuarios se configuran localmente, se configuran en el nivel de jerarquía [edit access profile profile-name client client-name] y se client-group organizan en grupos de usuarios mediante la opción de configuración.

  • Los usuarios se pueden configurar en un servidor de autenticación externo, como un servidor RADIUS. Los usuarios configurados en un servidor de autenticación externo no tienen que configurarse en el nivel de jerarquía [edit access profile profile-name].

Para los usuarios configurados localmente, es necesario especificar el grupo de usuarios en la configuración VPN dinámica para que se pueda asociar un usuario con una configuración de cliente. Puede especificar un grupo de usuarios con user-groups la opción en eledit security dynamic-vpn clients configuration-namenivel de jerarquía [].

Cuando se autentica un usuario, el grupo de usuarios se incluye en la respuesta de autenticación. Esta información se extrae y se buscan grupos de usuariosedit security dynamic-vpn clients configuration-nameconfigurados en el nivel de jerarquía [] para determinar qué configuración de cliente se debe recuperar y devolver al cliente para el establecimiento del túnel.

Si un usuario está asociado a más de un grupo de usuarios, se utilizará la primera configuración coincidente del grupo de usuarios. Si un usuario crea una segunda conexión, se utilizará la siguiente configuración de grupo de usuarios coincidente. Las siguientes conexiones de usuario usan la siguiente configuración de grupo de usuarios coincidente hasta que no haya más configuraciones coincidentes.

El siguiente procedimiento enumera las tareas para configurar una VPN dinámica.

  1. Configure la autenticación y la asignación de direcciones para los clientes remotos:

    1. Configure un perfil XAuth para autenticar a los usuarios y asignar direcciones. Puede utilizarse tanto la autenticación local como un servidor de RADIUS externo. Utilice la profile instrucción de configuración en eledit accessnivel de jerarquía [] para configurar el perfil xauth.

    2. Asignar direcciones IP desde un conjunto de direcciones locales si se utiliza autenticación local. Utilice la address-assignment pool instrucción de configuración en eledit accessnivel de jerarquía []. Se puede especificar una subred o un rango de direcciones IP. También pueden especificarse direcciones IP para servidores DNS y WINS.

  2. Configure el túnel VPN:

    1. Configure la Directiva de ICR. El modo debe ser agresivo. Se pueden usar conjuntos de propuestas básicos, compatibles o estándar. Solo se admiten claves previamente compartidas para la autenticación por fase 1. Utilice la policy instrucción de configuración en eledit security ikenivel de jerarquía [].

    2. Configure la puerta de enlace de ICR. Pueden utilizarse identificadores compartidos o de ICR de grupo. Puede configurar el número máximo de conexiones simultáneas con la puerta de enlace. Utilice la gateway instrucción de configuración en eledit security ikenivel de jerarquía [].

    3. Configure la VPN de IPsec. Se pueden especificar conjuntos de propuestas básico, compatible o estándar con la policy instrucción de configuración en eledit security ipsecnivel de jerarquía []. Utilice la vpn instrucción de configuración en eledit security ipsecnivel de jerarquía [] para configurar la puerta de enlace IPSec y la Directiva.

      Puede realizarse una comprobación de configuración para comprobar que todos los parámetros de ICR e IPsec necesarios para la VPN dinámica se han configurado correctamente. Si la configuración no es válida para ICR o IPsec, se mostrará un mensaje de error. Puede activar la comprobación de configuración con set security dynamic-vpn config-check el comando.

    4. Configure una directiva de seguridad para permitir el tráfico desde los clientes remotos hacia la puerta de enlace de ICR. Utilice la policy instrucción de configuración en eledit security policies from-zone zone to-zone zonenivel de jerarquía [].

      Configure la Directiva de seguridad con los source-address anycriterios destination-address anyde coincidencia application any , y con permit tunnel ipsec-vpn la acción con el nombre del túnel de VPN dinámico. Coloque esta directiva al final de la lista de directivas.

    5. Configure el tráfico de entrada de host para permitir que el tráfico específico llegue al dispositivo desde sistemas conectados a sus interfaces. Por ejemplo, debe permitirse el tráfico de ICR y HTTPS. Consulte Descripción de cómo controlar el tráfico entrante basándose en los tipos de tráfico.

    6. Adicional Si el grupo de direcciones del cliente pertenece a una subred que está conectada directamente al dispositivo, sería necesario que el dispositivo respondiera a las solicitudes ARP de direcciones del grupo de otros dispositivos de la misma zona. Utilice la proxy-arp instrucción de configuración en eledit security natnivel de jerarquía []. Especifique la interfaz que conecta directamente la subred al dispositivo y las direcciones del grupo.

  3. Asocie la VPN dinámica a los clientes remotos:

    1. Especifique el perfil de acceso para usar con VPN dinámico. Utilice la access-profile instrucción de configuración en eledit security dynamic-vpnnivel de jerarquía [].

    2. Configure los clientes que pueden usar la VPN dinámica. Especifique los recursos protegidos (el tráfico hacia el recurso protegido viaja por el túnel de VPN dinámico especificado y, por lo tanto, está protegido por las políticas de seguridad del firewall) o las excepciones a la lista de recursos protegidos (tráfico que no viaja por el túnel de VPN dinámico y se envía con texto sin formato). Estas opciones controlan las rutas que se envían al cliente cuando el túnel está activo, controlando por lo tanto el tráfico que se envía a través del túnel. Utilice la clients instrucción de configuración en eledit security dynamic-vpnnivel de jerarquía [].

  4. Para registrar mensajes VPN dinámicos, configure la traceoptions instrucción enedit security dynamic-vpnel nivel de jerarquía [].

Descripción de la autenticación local y la asignación de direcciones

Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM. Una aplicación cliente puede solicitar una dirección IP en nombre de un cliente. Esta solicitud se realiza al mismo tiempo que la solicitud de autenticación del cliente. Una vez realizada correctamente la autenticación del cliente, puede asignarse una dirección IP al cliente desde un grupo de direcciones predefinida o asignar una dirección IP específica. También se pueden proporcionar al cliente otros atributos, como direcciones IP del servidor WINS o DNS.

Las agrupaciones de direcciones se pool definen con la instrucción deedit access address-assignmentconfiguración en el nivel de jerarquía []. Una definición de conjunto de direcciones contiene la información de red (dirección IP con máscara opcional), definiciones de rango opcionales y atributos DHCP o XAuth que pueden devolverse al cliente. Si se asignan todas las direcciones de un grupo, se producirá un error en una nueva solicitud de dirección del cliente incluso si el cliente se autentica correctamente.

Los perfiles de acceso se definen profile con la instrucción de configuraciónedit accessen la jerarquía []. Se puede hacer referencia a un grupo de direcciones definido en una configuración de Perfil de acceso.

También puede enlazar una dirección IP específica con un cliente de un perfil de acceso con xauth ip-address address la opción. La dirección IP debe encontrarse en el intervalo de direcciones especificado en el conjunto de direcciones. También debe ser diferente de la dirección IP especificada con la host instrucción de configuración en el niveledit access profile address-assignment pool pool-name family inetde jerarquía []. Para cualquier aplicación, si se le ha asignado una dirección IP, no se volverá a asignar de nuevo hasta que no se libere.

Descripción de los identificadores de ICR agrupados y compartidos

Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM. Con VPN dinámico, se utiliza un identificador de Intercambio de claves por red (ICR) único para cada conexión de usuario. Cuando hay un gran número de usuarios que necesitan tener acceso a la red privada virtual, la configuración de una puerta de enlace de ICR individual, IPsec VPN y una directiva de seguridad para cada usuario puede ser engorroso. Las funciones ID del ICR de grupo e ID compartidos de ICR permiten a varios usuarios compartir una configuración ICR puerta de enlace, con lo que se reduce el número de configuraciones VPN necesarias.

Le recomendamos que configure los identificadores de ICR de grupo para las implementaciones de VPN dinámicas, ya que los identificadores de ICR de grupo proporcionan una clave compartida única e ID ICR para cada usuario.

Este tema incluye las siguientes secciones:

ID de ICR de grupo

Cuando se configuran identificadores de ICR de grupo, el identificador de ICR de cada usuario es una concatenación de un elemento específico del usuario y una parte común a todos los usuarios del grupo ICR ID. Por ejemplo, es posible que Bob utilice "Bob.example.net" como su ID de ICR completo, donde ".example.net" es común a todos los usuarios. El ID de ICR completo se utiliza para identificar de forma exclusiva cada conexión de usuario.

Aunque los identificadores de ICR de grupo no requieren XAuth, la VPN dinámica requiere XAuth para recuperar los atributos de red, como las direcciones IP de cliente. Aparece una advertencia si XAuth no está configurado para una VPN dinámica que utilice identificadores de ICR de grupo.

Es recomendable que los usuarios usen las mismas credenciales para la autenticación webauth y XAuth al configurar los identificadores de ICR de grupo.

Varios usuarios pueden utilizar el mismo ID. de ICR de grupo, pero un único usuario no puede utilizar el mismo ID ICR de grupo para distintas conexiones. Si un usuario necesita tener conexiones de distintos clientes remotos, deben tener configurados distintos identificadores de ICR de grupo, uno para cada conexión. Si un usuario solo tiene configurado un grupo ICR ID e intenta una segunda conexión desde otro PC, la primera conexión se terminará para permitir que la segunda conexión pase.

Para configurar un grupo ICR ID.:

  • Configure ike-user-type group-ike-id en eledit security ike gateway gateway-name dynamicnivel [] de la jerarquía.

  • Configure hostname la instrucción de configuración enedit security ike gateway gateway-name dynamicel nivel de jerarquía []. Esta configuración es la parte común del ID ICR completo para todos los usuarios.

  • Configure pre-shared-key la instrucción de configuración enedit security ike policy policy-nameel nivel de jerarquía []. La clave previamente compartida configurada se utiliza para generar la clave previamente compartida real.

Identificadores compartidos de ICR

Cuando se configura un ID de ICR compartido, todos los usuarios comparten un único ID de ICR y una sola clave previamente compartida ICR. Cada usuario se autentica a través de la fase de XAuth obligatoria, donde las credenciales de usuarios individuales se comprueban con un servidor de RADIUS externo o con una base de datos de acceso local. XAuth es necesario para los identificadores compartidos de ICR.

El nombre de usuario XAuth junto con el identificador de ICR compartido configurado se utiliza para distinguir entre las distintas conexiones de usuario. Dado que el nombre de usuario se utiliza para identificar cada conexión de usuario, tanto el nombre de usuario de webauth como el nombre de usuario XAuth deben ser idénticos.

Varios usuarios pueden usar el mismo ID. de ICR compartido, pero un único usuario no puede utilizar el mismo ID. de ICR compartido para distintas conexiones. Si un usuario necesita tener conexiones de distintos clientes remotos, deben tener configurados distintos identificadores de ICR, uno para cada conexión. Si un usuario solo tiene configurado un identificador de ICR compartido e intenta una segunda conexión desde otro cliente, la primera conexión se terminará para permitir que la segunda conexión pase. Además, dado que el nombre de usuario es necesario para identificar cada conexión de usuario junto con el ID ICR, el usuario debe usar las mismas credenciales para la autenticación webauth y XAuth.

Para configurar un ID ICR compartido:

  • Configure ike-user-type shared-ike-id en eledit security ike gateway gateway-name dynamicnivel [] de la jerarquía.

  • Configure hostname la instrucción de configuración enedit security ike gateway gateway-name dynamicel nivel de jerarquía []. Todos los usuarios configurados en el perfil de acceso de VPN dinámico comparten el nombre de host configurado.

  • Configure pre-shared-key la instrucción de configuración enedit security ike policy policy-nameel nivel de jerarquía []. La clave previamente compartida configurada la comparten todos los usuarios configurados en el perfil de acceso de VPN dinámico.

Ejemplo Configuración de VPN dinámico

En este ejemplo se muestra cómo configurar una VPN dinámica en un dispositivo Juniper Networks para proporcionar acceso VPN a los clientes remotos. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.

Aplicables

Antes de empezar:

  1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para los dispositivos de seguridad.

  2. Crear zonas de seguridad y asignarles interfaces. Consulte "Descripción de zonas de seguridad" en la página 111.

  3. Si hay más de dos conexiones simultáneas de usuario, instale una licencia de VPN dinámica en el dispositivo. Consulte la Guía de instalación y actualización del software.

Descripción general

Un escenario de implementación común para VPN dinámica es proporcionar acceso VPN a los clientes remotos que se conectan a través de una red pública, como Internet. Se asigna una dirección IP pública a una de las interfaces de la puerta de enlace; esta interfaz normalmente forma parte de la zona de no confianza. Después de instalar el software cliente, el usuario remoto puede tener acceso a la VPN iniciando sesión en el portal web o iniciando directamente el cliente. En cualquier caso, el cliente remoto se autentica con el dispositivo de serie SRX y descarga la configuración más reciente disponible.

Figura 2ilustra esta topología de implementación. La interfaz GE-0/0/15.0 del dispositivo serie SRX es el punto de terminación del túnel de VPN dinámico. Los clientes remotos de la zona de no confianza tienen acceso a la interfaz GE-0/0/15.0 a través de un cliente seguro de pulsos.

Figura 2: Topología de implementación de VPN dinámicaTopología de implementación de VPN dinámica

En este ejemplo, la autenticación de cliente XAuth se realiza localmente y se asignan direcciones IP de cliente de una agrupación de direcciones configuradas en el dispositivo de serie SRX. Consulte Tabla 1la.

A continuación, se utilizan conjuntos de propuestas estándar para las negociaciones de ICR e IPsec. Para túneles de VPN dinámicos, se debe configurar el modo agresivo y solo se admiten claves previamente compartidas para la autenticación por fase 1. Se utiliza un identificador de ICR de grupo y el número máximo de conexiones se establece en 10. Dado que las VPN dinámicas deben ser VPN basadas en políticas, debe configurarse una directiva de seguridad para reenviar el tráfico al túnel. Se debe permitir el tráfico de ICR y HTTPS para el tráfico entrante del host.Consulte Tabla 2la.

Por último, se especifica el perfil XAuth configurado para clientes remotos para la VPN dinámica. Los usuarios remotos se asocian con la VPN de IPsec configurada. También se configuran los recursos protegidos de forma remota (las direcciones de destino del tráfico que se envía siempre a través del túnel) y las excepciones remotas (las direcciones de destino del tráfico que se envía en texto sin cifrar y no a través del túnel). Consulte Tabla 3la.

Tabla 1: Configuración de asignación de direcciones y autenticación de clientes remotos

Función

Nombre

Parámetros de configuración

Grupo de direcciones IP

conjunto de direcciones-VPN de Dyn

  • Corrige 10.10.10.0/24

  • Dirección del servidor DNS: 192.0.2.1/32.

Perfil XAuth

Perfil de acceso de DIN-VPN

  • Nombre de usuario del cliente remoto: 'client1' con contraseña $ABC 123

  • Nombre de usuario del cliente remoto: 'client2' con contraseña $ABC 456

  • Referencia de conjunto de direcciones IP: conjunto de direcciones-VPN de Dyn

  • Este perfil es el perfil predeterminado para la autenticación Web.

Tabla 2: Parámetros de configuración de túnel VPN

Función

Nombre

Parámetros de configuración

Política de ICR (fase 1)

IKE-DIN-VPN-Policy

  • Medio ambiciosa

  • Propuesta: nivel

  • Clave previamente compartida: (ASCII) $ABC 789

Puerta de enlace de ICR (fase 1)

DIN-VPN-local-GW

  • Referencia de políticas ICR: IKE-DIN-VPN-Policy

  • Nombre de host dinámico: dynvpn

  • Tipo de usuario ICR: ID. de ICR de grupo

  • Número máximo de conexiones simultáneas: 10

  • Interfaz externa: ge-0/0/15.0

  • Referencia del perfil de acceso: Perfil de acceso de DIN-VPN

Directiva IPsec (fase 2)

IPSec-DIN-VPN-Policy

Propuesta: nivel

IPsec VPN (fase 2)

DIN-VPN

  • Referencia de puerta de enlace ICR: DIN-VPN-local-GW

  • Referencia de directiva IPsec: IPSec-DIN-VPN-Policy

Directiva de seguridad (permite el tráfico desde la zona de no confianza a la zona de confianza)

Directiva de VPN-DIN

  • Criterios de coincidencia:

    • Dirección de origen cualquiera

    • Dirección de destino cualquiera

    • aplicación cualquier

  • Acción de permiso: túnel IPSec: VPN DIN-VPN

Tráfico entrante del host

Permita los siguientes tipos de tráfico para la interfaz GE-0/0/15.0 en la zona que no es de confianza:

  • ICR

  • PROTOCOLOS

  • haciendo

Tabla 3: Configuración de VPN dinámica para clientes remotos

Función

Nombre

Parámetros de configuración

Perfil de acceso para clientes remotos

Referencia del perfil de acceso: Perfil de acceso de DIN-VPN

Clientes remotos

resto

  • Referencia de VPN de IPsec: DIN-VPN

  • Referencia de nombre de usuario: cliente1 y cliente2

  • Recursos protegidos remotos: 10.0.0.0/8

  • Excepciones remotas: 0.0.0.0/0

Automática

Configuración de la autenticación de usuarios remotos y la asignación de direcciones

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar la autenticación de usuarios remotos y la asignación de direcciones:

  1. Cree el grupo de asignación de direcciones.

  2. Configure el perfil XAuth.

  3. Configure la autenticación Web mediante el perfil XAuth.

Resultados

Desde el modo de configuración, escriba el show access comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurando el túnel VPN

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el túnel VPN:

  1. Configure la Directiva de ICR.

  2. Configure la puerta de enlace de ICR.

  3. Configure IPsec.

  4. Configure la Directiva de seguridad.

  5. Configure el tráfico entrante del host.

Resultados

Desde el modo de configuración, para confirmar la configuración show security ike, show security ipsecescriba show security policieslos comandos show security zones ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Asociar la VPN dinámica con clientes remotos

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para asociar la red privada virtual (VPN) dinámica con clientes remotos:

  1. Especifique el perfil de acceso que se usará con la VPN dinámica.

  2. Configure los clientes que pueden usar la VPN dinámica.

Resultados

Desde el modo de configuración, escriba el show security dynamic-vpn comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para supervisar los túneles VPN de IPsec tradicionales. Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación del estado de la fase 1 ICR

Purpose

Compruebe el estado ICR fase 1 de las asociaciones de seguridad.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Comprobación de clientes conectados y direcciones asignadas

Purpose

Compruebe que los clientes remotos y las direcciones IP que tienen asignadas están utilizando XAuth.

Intervención

En modo operativo, escriba el show security ike active-peer comando.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de IPsec Phase 2 de las asociaciones de seguridad.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando.

Comprobación de las conexiones simultáneas y los parámetros de cada usuario

Purpose

Compruebe el número de conexiones simultáneas y los parámetros negociados de cada usuario.

Intervención

En modo operativo, escriba el show security dynamic-vpn users comando.

Ejemplo Configurar autenticación local y conjunto de direcciones

En este ejemplo se muestra cómo crear una agrupación de direcciones y cómo asignar direcciones IP de cliente en un perfil de acceso. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.

Aplicables

Antes de comenzar, configure los servidores DNS y WINS primarios y secundarios, y asígneles direcciones IP.

Descripción general

En este ejemplo, se crea xauth1 una agrupación de direcciones que consta de las direcciones IP de la subred 192.0.2.0/24. El xauth1 grupo también asigna direcciones IP para los servidores DNS y WINS principales y secundarios.

El perfil dvpn-auth de acceso hace referencia al grupo de xauth1. El dvpn-auth Perfil de acceso configura dos clientes:

  • Jason La dirección IP 192.0.2.1 está enlazada a este cliente. Una vez realizada correctamente la autenticación, al cliente se le asigna la dirección IP 192.0.2.1. Si el cliente vuelve a iniciar sesión antes de cerrar la sesión, se asigna una dirección IP al cliente desde el grupo xauth1.

  • jacky: Una vez realizada correctamente la autenticación, se asigna una dirección IP al cliente desde el grupo xauth1.

Además, el perfil dvpn-auth de acceso especifica que la autenticación de contraseña se utiliza para comprobar clientes en el inicio de sesión. Se pueden especificar métodos de autenticación adicionales; el software prueba los métodos de autenticación por orden, desde el primero al último, por cada intento de inicio de sesión del cliente.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar un conjunto de direcciones y un perfil de acceso que utiliza la agrupación de direcciones:

  1. Crear el conjunto de direcciones.

  2. Configure el perfil de acceso.

Resultados

Desde el modo de configuración, escriba el show access comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación de la asignación de direcciones

Purpose

Compruebe la asignación de direcciones. Para XAuth, la dirección de hardware siempre se muestra como NA. Si se asigna una dirección IP estática a un usuario específico, el nombre de usuario y el nombre del perfil (con el formato user@profile) se mostrarán en la columna "host/usuario". Si a un cliente se le asigna una dirección IP del grupo, se mostrará el nombre del usuario; Si el nombre de usuario no existe, se muestra NA. Para otras aplicaciones (por ejemplo, DHCP), el nombre de host se muestra si está configurado; Si el nombre de host no está configurado, se muestra NA.

Intervención

En modo operativo, escriba el show network-access address-assignment pool comando.

Ejemplo Configuración de un ID ICR de grupo para varios usuarios

En este ejemplo se muestra cómo configurar un grupo ICR identificador utilizado por varios usuarios. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.

Aplicables

Antes de empezar:

Descripción general

En este ejemplo, se configuran dos usuarios vpn dinámicos remotos que utilizan un id. de ICR único y ICR clave previamente compartida (consulte Tabla 4 y Tabla 5 ). Se utiliza un servidor de RADIUS externo para autenticar a los usuarios y asignar direcciones IP a Tabla 6los clientes (consulte).

Tabla 4: Parámetros de configuración de túnel VPN de grupo ICR ID

Función

Nombre

Parámetros de configuración

Política de ICR (fase 1)

clientpol-grupo

  • Medio ambiciosa

  • Propuesta: compatible

  • Clave previamente compartida: (ASCII) para-todos-en-acceso-perfil

Puerta de enlace de ICR (fase 1)

groupgw

  • Referencia de políticas ICR: clientpol-grupo

  • Nombre de host dinámico: example.net

  • Tipo de usuario ICR: ID. de ICR de grupo

  • Número máximo de conexiones simultáneas: 50

  • Interfaz externa: ge-0/0/0.0

  • Referencia del perfil de acceso: RADIUS-Profile

Directiva IPsec (fase 2)

client1vpnPol

Propuesta: compatible

IPsec VPN (fase 2)

groupvpn

  • Referencia de puerta de enlace ICR: groupgw

  • Referencia de directiva IPsec: client1vpnPol

Directiva de seguridad (permite el tráfico desde la zona de no confianza a la zona de confianza)

Grupo-sec-Directiva

  • Criterios de coincidencia:

    • Dirección de origen cualquiera

    • Dirección de destino cualquiera

    • aplicación cualquier

  • Acción de permiso: túnel IPSec-VPN groupvpn

Tráfico entrante del host

Permita los siguientes tipos de tráfico para la interfaz GE-0/0/0,0 en la zona de no confianza:

  • ICR

  • PROTOCOLOS

  • haciendo

  • SSH

Tabla 5: ID ICR de grupo configuración dinámica de VPN para clientes remotos

Función

Nombre

Parámetros de configuración

Perfil de acceso para clientes remotos

Referencia del perfil de acceso: RADIUS-Profile

Clientes remotos

groupcfg

  • Referencia de VPN de IPsec: groupvpn

  • Referencia de nombre de usuario: Derek y Carlos

  • Recursos protegidos remotos: 10.100.100.0/24

  • Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Tabla 6: Autenticación de usuario del servidor RADIUS (ID. de ICR de grupo)

Función

Nombre

Parámetros de configuración

Perfil XAuth

RADIUS-Profile

  • RADIUS es el método de autenticación utilizado para comprobar las credenciales del usuario.

  • La RADIUS IP del servidor es 10.100.100.250 y la contraseña es "$ABC 123".

  • Este perfil es el perfil predeterminado para la autenticación Web.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar un ICR de ID de grupo para varios usuarios:

  1. Configure el perfil XAuth.

  2. Configure la Directiva de ICR.

  3. Configure la puerta de enlace de ICR.

  4. Configure IPsec.

  5. Configure la Directiva de seguridad.

  6. Configure el tráfico entrante del host.

  7. Especifique el perfil de acceso que se usará con la VPN dinámica.

  8. Configure los clientes que pueden usar la VPN dinámica.

Resultados

Desde el modo de configuración show security ike, especifique los comandos, show security ipsec, show security policiesshow security zones, y show security dynamic-vpn para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para supervisar los túneles VPN de IPsec tradicionales. Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación del estado de la fase 1 ICR

Purpose

Compruebe el estado ICR fase 1 de las asociaciones de seguridad.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Comprobación de clientes conectados y direcciones asignadas

Purpose

Compruebe que los clientes remotos y las direcciones IP que tienen asignadas están utilizando XAuth.

Intervención

En modo operativo, escriba el show security ike active-peer comando.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de IPsec Phase 2 de las asociaciones de seguridad.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando.

Comprobación de las conexiones simultáneas y los parámetros de cada usuario

Purpose

Compruebe el número de conexiones simultáneas y los parámetros negociados de cada usuario.

Intervención

En modo operativo, escriba el show security dynamic-vpn users comando.

Ejemplo Configuración de identificadores de ICR individuales para varios usuarios

En este ejemplo se muestra cómo configurar los identificadores de ICR individuales para varios usuarios. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.

Cuando hay un gran número de usuarios que necesitan tener acceso a la red privada virtual, la configuración de una puerta de enlace de ICR individual, IPsec VPN y una directiva de seguridad para cada usuario puede ser engorroso. La función ID del ICR de grupo permite a varios usuarios compartir una configuración de puerta de enlace ICR, lo que reduce el número de configuraciones VPN necesarias.

Aplicables

Antes de empezar:

Descripción general

En el ejemplo siguiente se muestra la configuración de dos usuarios remotos de VPN dinámicos. Para cada usuario, se debe configurar una directiva de ICR y puerta de enlace, así como la directiva IPsec y VPN, Tabla 7 y Tabla 8una directiva de seguridad (consulte y). Se utiliza un servidor de RADIUS externo para autenticar a los usuarios y asignar direcciones IP a Tabla 9los clientes (consulte).

Tabla 7: Parámetros de configuración de cliente 1

Función

Nombre

Parámetros de configuración

Política de ICR (fase 1)

client1pol

  • Medio ambiciosa

  • Propuesta: compatible

  • Clave previamente compartida: (ASCII) para-cliente1

Puerta de enlace de ICR (fase 1)

client1gw

  • Referencia de políticas ICR: client1pol

  • Nombre de host dinámico: example.net

  • Interfaz externa: ge-0/0/0.0

  • Referencia del perfil de acceso: RADIUS-Profile

Directiva IPsec (fase 2)

client1vpnPol

Propuesta: compatible

IPsec VPN (fase 2)

client1vpn

  • Referencia de puerta de enlace ICR: client1gw

  • Referencia de directiva IPsec: client1vpnPol

Directiva de seguridad (permite el tráfico desde la zona de no confianza a la zona de confianza)

client1-policy

  • Criterios de coincidencia:

    • Dirección de origen cualquiera

    • Dirección de destino cualquiera

    • aplicación cualquier

  • Acción de permiso: túnel IPSec-VPN client1vpn

Tráfico entrante del host

Permita los siguientes tipos de tráfico para la interfaz GE-0/0/0,0 en la zona de no confianza:

  • ICR

  • PROTOCOLOS

  • haciendo

  • SSH

Perfil de acceso para clientes remotos

Referencia del perfil de acceso: RADIUS-Profile

Clientes remotos

cfg1

  • Referencia de VPN de IPsec: client1vpn

  • Referencia de nombre de usuario: Pedro

  • Recursos protegidos remotos: 10.100.100.0/24

  • Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Tabla 8: Parámetros de configuración del cliente 2

Función

Nombre

Parámetros de configuración

Política de ICR (fase 1)

client2pol

  • Medio ambiciosa

  • Propuesta: compatible

  • Clave previamente compartida: (ASCII) para-cliente2

Puerta de enlace de ICR (fase 1)

client2gw

  • Referencia de políticas ICR: client2pol

  • Nombre de host dinámico: example.net

  • Interfaz externa: ge-0/0/0.0

  • Referencia del perfil de acceso: RADIUS-Profile

Directiva IPsec (fase 2)

client2vpnPol

Propuesta: compatible

IPsec VPN (fase 2)

client2vpn

  • Referencia de puerta de enlace ICR: client2gw

  • Referencia de directiva IPsec: client2vpnPol

Directiva de seguridad (permite el tráfico desde la zona de no confianza a la zona de confianza)

client2-policy

  • Criterios de coincidencia:

    • Dirección de origen cualquiera

    • Dirección de destino cualquiera

    • aplicación cualquier

  • Acción de permiso: túnel IPSec-VPN client2vpn

Tráfico entrante del host

Permita los siguientes tipos de tráfico para la interfaz GE-0/0/0,0 en la zona de no confianza:

  • ICR

  • PROTOCOLOS

  • haciendo

  • SSH

Perfil de acceso para clientes remotos

Referencia del perfil de acceso: RADIUS-Profile

Clientes remotos

cfg2

  • Referencia de VPN de IPsec: client2vpn

  • Referencia de nombre de usuario: Cris

  • Recursos protegidos remotos: 10.100.100.0/24

  • Excepciones remotas: 0.0.0.0/0, 192.0.2.1/24

Tabla 9: Autenticación de usuario del servidor RADIUS (ID. individual de ICR)

Función

Nombre

Parámetros de configuración

Perfil XAuth

RADIUS-Profile

  • RADIUS es el método de autenticación utilizado para comprobar las credenciales del usuario.

  • RADIUS dirección IP del servidor es 10.100.100.250 y la contraseña es "$ABC 123".

  • Este perfil es el perfil predeterminado para la autenticación Web.

Automática

Configuración del perfil de XAuth

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el perfil XAuth:

  1. Configure el perfil de acceso.

  2. Configure la autenticación Web mediante el perfil XAuth.

Resultados

Desde el modo de configuración, escriba el show access comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar el cliente 1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar una VPN dinámica para un solo usuario:

  1. Configure la Directiva de ICR.

  2. Configure la puerta de enlace de ICR.

  3. Configure IPsec.

  4. Configure la Directiva de seguridad.

  5. Configure el tráfico entrante del host.

  6. Especifique el perfil de acceso que se usará con la VPN dinámica.

  7. Configure los clientes que pueden usar la VPN dinámica.

Resultados

Desde el modo de configuración show security ike, especifique los comandos, show security ipsec, show security policiesshow security zones, y show security dynamic-vpn para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar el cliente 2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar una VPN dinámica para un solo usuario:

  1. Configure la Directiva de ICR.

  2. Configure la puerta de enlace de ICR.

  3. Configure IPsec.

  4. Configure la Directiva de seguridad.

  5. Configure el tráfico entrante del host.

  6. Especifique el perfil de acceso que se usará con la VPN dinámica.

  7. Configure los clientes que pueden usar la VPN dinámica.

Resultados

Desde el modo de configuración show security ike, especifique los comandos, show security ipsec, show security policiesshow security zones, y show security dynamic-vpn para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para supervisar los túneles VPN de IPsec tradicionales. Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación del estado de la fase 1 ICR

Purpose

Compruebe el estado ICR fase 1 de las asociaciones de seguridad.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

Comprobación de clientes conectados y direcciones asignadas

Purpose

Compruebe que los clientes remotos y las direcciones IP que tienen asignadas están utilizando XAuth.

Intervención

En modo operativo, escriba el show security ike active-peer comando.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de IPsec Phase 2 de las asociaciones de seguridad.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando.

Comprobación de las conexiones simultáneas y los parámetros de cada usuario

Purpose

Compruebe el número de conexiones simultáneas y los parámetros negociados de cada usuario.

Intervención

En modo operativo, escriba el show security dynamic-vpn users comando.