Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grupo VPNv1

Vpn de grupo es un conjunto de funciones que son necesarias para proteger el tráfico de grupo de multidifusión IP o el tráfico de unidifusión a través de una WAN privada que se origina en o fluye a través de un dispositivo.

Descripción general del grupo VPNv1

Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red privada virtual (VPN) que define las reglas que se deben usar para la autenticación y los algoritmos de cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con las implementaciones de VPN actuales, la SA es un túnel punto a punto entre dos dispositivos de seguridad. El grupo VPNv1 extiende la arquitectura IPsec para admitir SA compartidas por un grupo de dispositivos de seguridad (consulte Figura 1).

Figura 1: VPN IPsec estándar y VPNv1 de grupoVPN IPsec estándar y VPNv1 de grupo

El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. Con el grupo VPNv1, la conectividad de todos a cualquier se logra conservando las direcciones IP de origen y destino originales en el encabezado externo. Los paquetes de multidifusión seguros se replican de la misma manera que los paquetes de multidifusión de texto sin formato en la red central.

A partir de Junos OS versión 12.3X48-D30, los miembros del grupo VPNv1 pueden interoperar con servidores VPNv2 del grupo.

El grupo VPNv1 tiene algunas limitaciones de propiedad con respecto a RFC 6407, El dominio de interpretación del grupo (GDOI). Para usar VPN de grupo sin limitaciones de propiedad, actualice al grupo VPNv2. El grupo VPNv2 se admite en instancias vSRX a partir de Junos OS versión 15.1X49-D30, dispositivos serie SRX a partir de Junos OS versión 15.1X49-D40 y dispositivos serie MX a partir de Junos OS versión 15.1r2.

Descripción del protocolo GDOI para el grupo VPNv1

El grupo VPNv1 se basa en RFC 3547, El dominio de interpretación del grupo (GDOI). Esta RFC describe el protocolo entre los miembros del grupo y un servidor de grupo para establecer SA entre los miembros del grupo. Los mensajes GDOI crean, mantienen o eliminan SA para un grupo de dispositivos. El protocolo GDOI se ejecuta en el puerto 848.

El protocolo de administración de claves y asociación de seguridad de Internet (ISAKMP) define dos fases de negociación para establecer SA para un túnel IPsec de IKE de clave automática. La fase 1 permite que dos dispositivos establezcan una SA ISAKMP. La fase 2 establece SA para otros protocolos de seguridad, como GDOI.

Con vpn de grupo, la negociación DE SA ISAKMP de fase 1 se realiza entre un servidor de grupo y un miembro del grupo. El servidor y el miembro deben usar la misma política ISAKMP. En la fase 2, los intercambios de GDOI entre el servidor y el miembro establecen las SA que se comparten con otros miembros del grupo. Un miembro de grupo no necesita negociar IPsec con otros miembros del grupo. Los intercambios de GDOI en la fase 2 deben estar protegidos por SA de fase 1 ISAKMP.

Existen dos tipos de intercambios de GDOI:

  • El groupkey-pull intercambio permite a un miembro solicitar SA y claves compartidas por el grupo desde el servidor.

  • El groupkey-push intercambio es un único mensaje de reclave que permite al servidor enviar SA y claves de grupo a los miembros antes de que expiren las SA de grupo existentes. Los mensajes de reclave son mensajes no solicitados enviados desde el servidor a los miembros.

Descripción de las limitaciones de VPNv1 del grupo

En esta versión, no se admiten los siguientes elementos para el grupo VPNv1:

  • Instancias de enrutamiento no predeterminadas

  • Clúster de chasis

  • Clústeres de servidores

  • VPN de grupo basado en rutas

  • Implementación pública basada en Internet

  • SNMP

  • Negar la política del servidor VPN GET de Cisco

  • Interfaz J-Web para configuración y supervisión

A partir de Junos OS versión 12.3X48-D30, los miembros del grupo VPNv1 en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650 pueden interoperar con servidores VPNv2 del grupo. Cuando configure miembros de VPNv1 de grupo para usarlos con servidores VPNv2 de grupo, tenga en cuenta las siguientes limitaciones:

  • El grupo VPNv2 es compatible con el borrador de especificación IETF protocolo de detección de retraso de entrega IP para un mecanismo antireplay basado en tiempo. Por lo tanto, el antireplay basado en protocolos de detección de retraso de entrega IP no se admite en los miembros vpnv1 del grupo y debe deshabilitarse en el servidor VPNv2 del grupo con el deactivate security group-vpn server group group-name anti-replay-time-window comando.

  • El servidor VPNv2 de grupo no admite la colocación, donde el servidor de grupo y las funciones miembro del grupo existen en el mismo dispositivo.

  • El servidor VPNv2 del grupo no admite transmisiones de latidos. El latido debe deshabilitarse en el miembro VPNv1 del grupo con el deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold comando. Recomendamos usar grupos de servidores VPNv2 de grupo para evitar el impacto del tráfico debido a reinicios u otras interrupciones en el servidor VPNv2 del grupo.

  • Los mensajes de inserción de clave de grupo enviados desde el servidor VPNv2 del grupo se basan en RFC 6407, El dominio de interpretación del grupo (GDOI) y no se admiten en los miembros de VPNv1 del grupo. Por lo tanto, los mensajes de inserción de clave de grupo se deben deshabilitar en el servidor VPNv2 del grupo con el deactivate security group-vpn server group group-name server-member-communication comando.

    Las reclaves se admiten con mensajes de extracción de claves de grupo. Si hay problemas de escalamiento en los que los miembros de VPNv1 del grupo no pueden completar la operación de extracción de clave de grupo antes de que expire la duración dura del TEK, recomendamos aumentar la vida útil de TEK para permitir que los miembros completen la operación de extracción de claves de grupo. Los números de escalamiento de Juniper están calificados con una vida útil de TEK de 2 horas.

  • Si se reinicia o actualiza el servidor VPNv2 del grupo, o se borran las SA del grupo, no se pueden agregar nuevos miembros a la red hasta que se produzca la siguiente reenclave para los miembros existentes. Los miembros nuevos no pueden enviar tráfico a miembros existentes que tengan claves antiguas. Como solución alternativa, desactive las SA en los miembros de VPNv1 de grupo existentes con el clear security group-vpn member ipsec security-associations comando.

  • Dado que el tráfico de datos de multidifusión no es compatible con los miembros del grupo VPNv2, no se puede utilizar el tráfico de datos de multidifusión cuando los miembros vpnv1 y VPNv2 del grupo coexisten en la red para el mismo grupo.

Descripción de los servidores y miembros VPNv1 del grupo

El centro de una VPN de grupo es el servidor de grupo. El servidor de grupo realiza las siguientes tareas:

  • Controla la pertenencia a grupo

  • Genera claves de cifrado

  • Administra las SA y las claves del grupo, y las distribuye a los miembros del grupo

Los miembros del grupo cifran el tráfico según las SA y las claves del grupo proporcionadas por el servidor del grupo.

Un servidor de grupo puede dar servicio a varios grupos. Un solo dispositivo de seguridad puede ser miembro de varios grupos.

Cada grupo está representado por un identificador de grupo, que es un número entre 1 y 65 535. El identificador del grupo vincula el servidor del grupo y los miembros del grupo. Solo puede haber un identificador de grupo por grupo y varios grupos no pueden usar el mismo identificador de grupo.

Lo siguiente es una vista de alto nivel de las acciones del servidor VPN de grupo y miembro:

  1. El servidor de grupo escucha en el puerto UDP 848 para que los miembros se registren. Un dispositivo miembro debe proporcionar la autenticación correcta de fase 1 de ICR para unirse al grupo. Se admite la autenticación de clave previamente compartida por miembro.

  2. Tras la autenticación y el registro exitosos, el dispositivo miembro recupera las SA y las claves del grupo del servidor con un intercambio de GDOI groupkey-pull .

  3. El servidor agrega el miembro a la pertenencia del grupo.

  4. Los miembros del grupo intercambian paquetes cifrados con claves SA de grupo.

El servidor envía periódicamente SA y actualizaciones de claves a los miembros del grupo con mensajes de reclave (GDOI groupkey-push). Los mensajes de reclave se envían antes de que las SA expiren; esto garantiza que las claves válidas estén disponibles para cifrar el tráfico entre miembros del grupo.

El servidor también envía mensajes de reclave para proporcionar claves nuevas a los miembros cuando hay un cambio en la pertenencia al grupo o cuando la SA del grupo ha cambiado.

Descripción de la comunicación de los miembros del servidor VPNv1 del grupo

El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. La comunicación entre miembros del servidor permite que el servidor envíe mensajes GDOI groupkey-push a los miembros. Si la comunicación de miembro del servidor no está configurada para el grupo, los miembros pueden enviar mensajes de GDOI groupkey-pull para registrarse y volver a registrarse en el servidor, pero el servidor no puede enviar mensajes de rekey a los miembros.

La comunicación del miembro del servidor se configura para el grupo mediante la server-member-communication instrucción de configuración en la jerarquía [edit security group-vpn server]. Se pueden definir las siguientes opciones:

  • Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede especificar 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc o des-cbc. No hay ningún algoritmo predeterminado.

  • Algoritmo de autenticación (md5 o sha1) que se usa para autenticar al miembro en el servidor. No hay ningún algoritmo predeterminado.

  • Si el servidor envía mensajes de unidifusión o de reclame multidifusión a los miembros del grupo y los parámetros relacionados con el tipo de comunicación.

  • Intervalo en el que el servidor envía mensajes de latido al miembro del grupo. Esto permite al miembro determinar si el servidor se ha reiniciado, lo que requeriría que el miembro vuelva a registrarse con el servidor. El valor predeterminado es de 300 segundos.

  • Duración de la clave de cifrado de claves (KEK). El valor predeterminado es de 3600 segundos.

Configurar la comunicación de miembro del servidor es necesario para que el servidor de grupo envíe mensajes de rekey a los miembros, pero puede haber situaciones en las que no se desea este comportamiento. Por ejemplo, si los miembros del grupo son pares dinámicos (como en una oficina en casa), los dispositivos no siempre están activados y la dirección IP de un dispositivo puede ser diferente cada vez que se enciende. Configurar la comunicación de miembro del servidor para un grupo de pares dinámicos puede dar lugar a transmisiones innecesarias por parte del servidor. Si desea que la negociación sa de fase 1 de IKE se realice siempre para proteger la negociación de GDOI, no configure la comunicación de miembro del servidor.

Si la comunicación de miembro del servidor para un grupo no está configurada, la lista de pertenencia que muestra el comando muestra a los miembros del show security group-vpn server registered-members grupo que se han registrado en el servidor; los miembros pueden estar activos o no. Cuando se configura la comunicación de miembro del servidor para un grupo, se borra la lista de pertenencia del grupo. Si el tipo de comunicación está configurado como unidifusión, el show security group-vpn server registered-members comando solo muestra miembros activos. Si el tipo de comunicación está configurado como multidifusión, el show security group-vpn server registered-members comando muestra a los miembros que se han registrado en el servidor después de la configuración; la lista de pertenencia no representa necesariamente miembros activos, ya que los miembros pueden abandonarse después del registro.

Descripción de las operaciones clave del grupo VPNv1

Este tema contiene las siguientes secciones:

Claves de grupo

El servidor de grupo mantiene una base de datos para realizar un seguimiento de la relación entre grupos VPN, miembros de grupo y claves de grupo. Hay dos tipos de claves de grupo que el servidor descarga a los miembros:

  • Clave de cifrado de claves (KEK): se utiliza para cifrar mensajes de rekey. Se admite una KEK por grupo.

  • Clave de cifrado de tráfico (TEK): se utiliza para cifrar y descifrar el tráfico de datos IPsec entre miembros del grupo.

Un miembro del grupo solo acepta la clave asociada con una SA si hay una política de ámbito coincidente configurada en el miembro. Se instala una clave aceptada para la VPN del grupo, mientras que se descarta una clave denegada.

Volver a clave de mensajes

Si el grupo está configurado para comunicaciones de miembro del servidor, el servidor envía periódicamente SA y actualizaciones de claves a los miembros del grupo con mensajes de reclave (GDOI groupkey-push). Los mensajes de reclave se envían antes de que las SA expiren; esto garantiza que las claves válidas estén disponibles para cifrar el tráfico entre miembros del grupo.

El servidor también envía mensajes de reclave para proporcionar claves nuevas a los miembros cuando hay un cambio en la pertenencia al grupo o la SA del grupo ha cambiado (por ejemplo, se agrega o elimina una política de grupo).

Las opciones de comunicaciones de miembro del servidor se deben configurar en el servidor para permitir que el servidor envíe mensajes de reclame a los miembros del grupo. Estas opciones especifican el tipo de mensaje y los intervalos a los que se envían los mensajes, como se explica en las siguientes secciones:

Hay dos tipos de mensajes de reclave:

  • Mensajes de reenclave de unidifusión: el servidor del grupo envía una copia del mensaje de reclave a cada miembro del grupo. Tras recibir el mensaje de rekey, los miembros deben enviar una confirmación (ACK) al servidor. Si el servidor no recibe una ACK de un miembro (incluida la retransmisión de mensajes de reenclave), el servidor considera que el miembro está inactivo y lo quita de la lista de miembros. El servidor deja de enviar mensajes de reclave al miembro.

    Las number-of-retransmission instrucciones de configuración y retransmission-period para las comunicaciones de miembro del servidor controlan el reenvío de mensajes de reenclave por el servidor cuando no se recibe ninguna ACK de un miembro.

  • Mensajes de reclave de multidifusión: el servidor de grupo envía una copia del mensaje de reclave desde la interfaz saliente especificada a la dirección del grupo de multidifusión configurada. Los miembros no envían confirmación de recepción de mensajes de reclave de multidifusión. La lista de miembros registrados no representa necesariamente a los miembros activos, ya que los miembros pueden abandonar la lista después del registro inicial. Todos los miembros del grupo se deben configurar para admitir mensajes de multidifusión.

    Los protocolos de multidifusión IP se deben configurar para permitir la entrega del tráfico de multidifusión en la red. Para obtener información detallada acerca de cómo configurar protocolos de multidifusión en dispositivos juniper Networks, consulte Guía del usuario de protocolos de multidifusión .

El intervalo en el que el servidor envía mensajes de rekey se calcula según los valores de las lifetime-seconds instrucciones de configuración y activation-time-delay en la jerarquía [edit security group-vpn server group]. El intervalo se calcula como lifetime-seconds minus 4*(activation-time-delay).

El lifetime-seconds para la KEK se configura como parte de las comunicaciones de miembro del servidor; el valor predeterminado es de 3600 segundos. El lifetime-seconds para la TEK está configurado para la propuesta de IPsec; el valor predeterminado es de 3600 segundos. El activation-time-delay está configurado para el grupo en el servidor; el valor predeterminado es de 15 segundos. El uso de los valores predeterminados para lifetime-seconds y activation-time-delay, el intervalo en el que el servidor envía mensajes de rekey es 3600 minus 4*15, o 3540 segundos.

Registro de miembros

Si un miembro de grupo no recibe una nueva clave SA del servidor antes de que expire la clave actual, el miembro debe volver a registrarse con el servidor y obtener claves actualizadas con un intercambio GDOI groupkey-pull . En este caso, el intervalo al que el servidor envía mensajes de reclave se calcula de la siguiente manera: lifetime-seconds menos 3*(activation-time-delay). El uso de los valores predeterminados para lifetime-seconds y activation-time-delay, el intervalo en el que el servidor envía mensajes de rekey es de 3600 menos 3*15 o 3555 segundos.

La reregistración de miembros puede producirse por las siguientes razones:

  • El miembro detecta un reinicio del servidor por la ausencia de latidos recibidos del servidor.

  • El mensaje de reclave del servidor de grupo se pierde o se retrasa, y la vida útil de TEK ha expirado.

Activación clave

Cuando un miembro recibe una nueva clave del servidor, espera un período de tiempo antes de usar la clave para el cifrado. Este período de tiempo lo determina la activation-time-delay instrucción de configuración y si la clave se recibe mediante un mensaje de reclave enviado desde el servidor o como resultado de que el miembro vuelva a registrarse con el servidor.

Si la clave se recibe mediante un mensaje de reclave enviado desde el servidor, el miembro espera 2*(activation-time-delay) segundos antes de usar la clave. Si la clave se recibe mediante la reregistration de miembro, el miembro espera el número de segundos especificado por el activation-time-delay valor.

Un miembro conserva las dos claves más recientes enviadas desde el servidor para cada SA de grupo instalada en el miembro. Ambas claves se pueden utilizar para el descifrado, mientras que la clave más reciente se utiliza para el cifrado. La clave anterior se elimina el número de segundos especificado por el activation-time-delay valor después de activar la nueva clave.

El valor predeterminado de la activation-time-delay instrucción de configuración es de 15 segundos. Establecer este período de tiempo demasiado pequeño puede dar como resultado que un paquete se deje caer en un miembro de grupo remoto antes de instalar la nueva clave. Tenga en cuenta la topología de red y los retrasos del transporte del sistema cuando cambie el activation-time-delay valor. En el caso de las transmisiones de unidifusión, el retraso del transporte del sistema es proporcional al número de miembros del grupo.

Un servidor VPNv1 de grupo puede enviar varias claves de cifrado de tráfico (TEK) a un miembro de VPNv1 del grupo en respuesta a una groupkey-pull solicitud. A continuación, se describe cómo el miembro del grupo VPNv1 controla la TEK existente y las TEK que recibe del servidor:

  • Si el miembro de VPNv1 del grupo recibe dos o más TEK, contiene los dos TEK más recientes y elimina la TEK existente. De los dos TEK retenidos, el TEK más antiguo se activa inmediatamente y el TEK más nuevo se activa después de que haya transcurrido el activation-time-delay servidor VPNv1 configurado en el grupo (el valor predeterminado es 15 segundos).

  • Si el miembro del grupo VPNv1 recibe solo una TEK, o si recibe una TEK a través de un groupkey-push mensaje del servidor, la TEK existente no se elimina hasta que expire la duración dura. La vida útil no se acorta para la TEK existente.

El miembro del grupo VPNv1 sigue instalando una TEK recibida, incluso si la vida útil de TEK es menos de dos veces el activation-time-delay valor.

Descripción de los mensajes de latido del grupo VPNv1

Cuando se configura la comunicación de miembro del servidor, el servidor VPNv1 del grupo envía mensajes de latido a los miembros a intervalos especificados (el intervalo predeterminado es de 300 segundos). El mecanismo de latido permite a los miembros volver a registrarse con el servidor si no se recibe el número especificado de latidos. Por ejemplo, los miembros no recibirán mensajes de latido durante el reinicio del servidor. Cuando el servidor se ha reiniciado, los miembros vuelven a registrarse con el servidor.

Los latidos del corazón se transmiten a través de groupkey-push mensajes. El número de secuencia se incrementa en cada mensaje de latido, lo que protege a los miembros de los ataques de respuesta. A diferencia de los mensajes de reenclave, los destinatarios no reconocen los mensajes de latido y el servidor no los retransmite.

Los mensajes de latido contienen la siguiente información:

  • Estado actual y configuración de las claves en el servidor

  • Tiempo relativo, si el antireplay está habilitado

Al comparar la información en los latidos del corazón, un miembro puede detectar si se ha perdido la información del servidor o reclave mensajes. El miembro se reregistra para sincronizarse con el servidor.

Los mensajes de latido pueden aumentar la congestión de la red y causar reregistraciones innecesarias de miembros. Por lo tanto, la detección de latidos se puede deshabilitar en el miembro si es necesario.

Descripción del modo de colocación de miembros del servidor VPNv1 del grupo

Las funciones de servidor de grupo y miembro de grupo son independientes y no se superponen. Las funciones de servidor y miembro pueden coexistir en el mismo dispositivo físico, que se denomina modo de colocación. En el modo de colocación, no hay cambios en términos de funcionalidad y comportamiento del servidor o un miembro, pero el servidor y el miembro deben tener asignadas diferentes direcciones IP para que los paquetes se puedan entregar correctamente. En el modo de colocación, solo puede haber una dirección IP asignada al servidor y una dirección IP asignada al miembro entre grupos.

Descripción general de la configuración del grupo VPNv1

En este tema se describen las tareas principales para configurar el grupo VPNv1.

En el servidor de grupo, configure lo siguiente:

  1. Negociación de fase 1 de ICR. Utilice la jerarquía [edit security group-vpn server ike] para configurar la SA de fase 1 de IKE. Consulte Descripción de la configuración de fase 1 de ICR para grupo VPNv2 .
  2. SA IPsec de fase 2. Consulte Descripción de la configuración sa de IPsec para el grupo VPNv1.
  3. grupo VPN. Consulte Descripción general de la configuración del grupo VPNv1.

En el miembro del grupo, configure lo siguiente:

  1. Negociación de fase 1 de ICR. Utilice la jerarquía [edit security group-vpn member ike] para configurar sa de fase 1 de IKE. Consulte Descripción de la configuración de fase 1 de ICR para grupo VPNv1 .

  2. SA IPsec de fase 2. Consulte Descripción de la configuración sa de IPsec para el grupo VPNv1.

  3. Política de ámbito que determina qué políticas de grupo se instalan en el miembro. Consulte Descripción de políticas dinámicas para VPNv1 del grupo.

Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS se configure para un tamaño máximo de unidad de transmisión (MTU) no mayor que 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de la MTU.

El grupo VPN se configura en el servidor con la group instrucción de configuración en la jerarquía [edit security group-vpn server].

La información del grupo consta de la siguiente información:

  • Identificador de grupo: un valor entre 1 y 65 535 que identifica el grupo VPN. El mismo identificador de grupo se debe configurar en el miembro del grupo para IKE de clave automática.

  • Miembros del grupo, tal y como está configurado con la ike-gateway instrucción de configuración. Puede haber varias instancias de esta instrucción de configuración, una para cada miembro del grupo.

  • Dirección IP del servidor (se recomienda la dirección de interfaz de circuito cerrado).

  • Políticas de grupo: políticas que se deben descargar a los miembros. Las políticas de grupo describen el tráfico al que se aplican la SA y las claves. Consulte Descripción de políticas dinámicas para VPNv1 del grupo.

  • Comunicación de miembro del servidor: configuración opcional que permite al servidor enviar mensajes de rekey a los miembros. Consulte Descripción general del grupo VPNv1.

  • Antireplay: configuración opcional que detecta la intercepción y reproducción de paquetes. Consulte Descripción de Antireplay para el grupo VPNv1.

Descripción de la configuración de fase 1 de ICR para el grupo VPNv1

Una SA de fase 1 de ICR entre el servidor del grupo y un miembro del grupo establece un canal seguro en el que negociar SA IPsec compartidas por un grupo. Para VPN IPsec estándar en dispositivos de seguridad de Juniper Networks, la configuración de SA de fase 1 consiste en especificar una propuesta de ICR, una política y una puerta de enlace. Para el grupo VPNv1, la configuración sa de fase 1 de IKE es similar a la configuración para VPN IPsec estándar, pero se realiza en la jerarquía [edit security group-vpn].

En la configuración de propuesta de IKE, establece el método de autenticación y los algoritmos de autenticación y cifrado que se usarán para abrir un canal seguro entre los participantes. En la configuración de la política de IKE, establece el modo (principal o agresivo) en el que se negociará el canal de fase 1, especifica el tipo de intercambio de claves que se va a utilizar y hace referencia a la propuesta de fase 1. En la configuración de puerta de enlace de IKE, hace referencia a la política de fase 1.

Dado que el grupo VPNv2 solo admite algoritmos sólidos, la sha-256 opción de algoritmo de autenticación se admite para miembros de VPNv1 de grupo en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650. Cuando los miembros del grupo VPNv1 interoperan con servidores VPNv2 de grupo, esta opción se debe configurar en los miembros vpnv1 del grupo con el edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 comando. En el servidor VPNv2 del grupo, authentication-algorithm sha-256 se debe configurar para las propuestas de IKE y authentication-algorithm hmac-sha-256-128 debe configurarse para las propuestas de IPsec.

Si una puerta de enlace IKE en un miembro vpnv1 de grupo está configurada con más de una dirección de puerta de enlace, se muestra el mensaje de error "Solo se permite configurar una dirección remota por configuración de puerta de enlace IKE" cuando se confirma la configuración.

La configuración de fase 1 de ICR en el servidor de grupo debe coincidir con la configuración de fase 1 de ICR en los miembros del grupo.

Descripción de la configuración sa de IPsec para el grupo VPNv1

Después de que el servidor y el miembro hayan establecido un canal seguro y autenticado en la negociación de fase 1, pasan por la fase 2. La negociación de fase 2 establece las SA IPsec que comparten los miembros del grupo para proteger los datos que se transmiten entre los miembros. Aunque la configuración de SA de IPsec para VPN de grupo es similar a la configuración para VPN estándar, un miembro del grupo no necesita negociar la SA con otros miembros del grupo.

La configuración IPsec de fase 2 para el grupo VPNv1 consta de la siguiente información:

  • Una propuesta para el protocolo de seguridad, la autenticación y el algoritmo de cifrado que se usará para la SA. La propuesta de SA de IPsec se configura en el servidor de grupo con la proposal instrucción de configuración en la jerarquía [edit security group-vpn server ipsec].

  • Una política de grupo que hace referencia a la propuesta. Una política de grupo especifica el tráfico (protocolo, dirección de origen, puerto de origen, dirección de destino y puerto de destino) al que se aplican la SA y las claves. La política de grupo se configura en el servidor con la ipsec-sa instrucción de configuración en la jerarquía [edit security group-vpn server group ].

  • Una IKE de clave automática que hace referencia al identificador del grupo, al servidor del grupo (configurado con la ike-gateway instrucción de configuración) y a la interfaz utilizada por el miembro para conectarse al grupo. La IKE de clave automática se configura en el miembro con la ipsec vpn instrucción de configuración en la jerarquía [edit security group-vpn member].

Descripción de las políticas dinámicas para el grupo VPNv1

El servidor de grupo distribuye las SA y las claves del grupo a los miembros de un grupo especificado. Todos los miembros que pertenecen al mismo grupo pueden compartir el mismo conjunto de SA IPsec. Pero no todas las SA configuradas para un grupo se instalan en cada miembro del grupo. La SA instalada en un miembro específico está determinada por la política asociada con la SA del grupo y las políticas de seguridad configuradas en el miembro.

En un grupo VPN, cada SA de grupo y la clave que el servidor inserta a un miembro se asocian a una política de grupo. La política de grupo describe el tráfico en el que se debe usar la clave, incluidos el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino.

Las políticas de grupo que son idénticas (configuradas con la misma dirección de origen, dirección de destino, puerto de origen, puerto de destino y valores de protocolo) no pueden existir para un solo grupo. Se devuelve un error si intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo. Si este es el caso, debe eliminar una de las mismas políticas de grupo.

En un miembro de grupo, se debe configurar una política de ámbito que defina el ámbito de la política de grupo descargada del servidor. Una política de grupo distribuida desde el servidor se compara con las políticas de ámbito configuradas en el miembro. Para que se instale una política de grupo en el miembro, se deben cumplir las siguientes condiciones:

  • Las direcciones especificadas en la política de grupo deben estar dentro del intervalo de direcciones especificadas en la política de ámbito.

  • El puerto de origen, el puerto de destino y el protocolo especificados en la política de grupo deben coincidir con los configurados en la política de ámbito.

Una política de grupo que se instala en un miembro se denomina política dinámica.

Una política de ámbito puede formar parte de una lista ordenada de políticas de seguridad para un contexto específico de zona a zona. Junos OS realiza una búsqueda de política de seguridad en paquetes entrantes a partir de la parte superior de la lista ordenada.

Dependiendo de la posición de la política de ámbito dentro de la lista ordenada de políticas de seguridad, hay varias posibilidades para la búsqueda dinámica de políticas:

  • Si el paquete entrante coincide con una política de seguridad antes de considerar la política de ámbito, no se produce una búsqueda de política dinámica.

  • Si una política entrante coincide con una política de ámbito, el proceso de búsqueda continúa para una política dinámica coincidente. Si hay una política dinámica coincidente, se realiza esa acción de política (permitir). Si no hay ninguna política dinámica coincidente, el proceso de búsqueda continúa buscando las políticas que se encuentran debajo de la política de ámbito.

    En esta versión, solo se permite la tunnel acción para una política de ámbito. No se admiten otras acciones.

Configure una política de ámbito en un miembro de grupo mediante la policies instrucción de configuración en la jerarquía [edit security]. Utilice la ipsec-group-vpn instrucción de configuración en la regla de túnel de permiso para hacer referencia a la VPN del grupo; esto permite a los miembros del grupo compartir una sola SA.

Descripción de Antireplay para VPNv1 del grupo

Antireplay es una función IPsec que puede detectar cuando un paquete es interceptado y luego reproducido por los atacantes. Antireplay está habilitado de forma predeterminada para VPN de grupo, pero se puede deshabilitar para un grupo con la no-anti-replay instrucción de configuración.

Cuando se habilita el antireplay, el servidor de grupo sincroniza el tiempo entre los miembros del grupo. Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de hora del paquete está dentro del valor configurado anti-replay-time-window (el valor predeterminado es de 100 segundos). Se quita un paquete si la marca de hora supera el valor.

Ejemplo: Configuración del servidor VPNv1 de grupo y miembros

En este ejemplo, se muestra cómo configurar el grupo VPNv1 para extender la arquitectura IPsec para admitir SA que comparten un grupo de dispositivos de seguridad. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Requisitos

Antes de comenzar:

Descripción general

En Figura 2, una VPN de grupo consta de dos dispositivos miembro (member1 y member2) y un servidor de grupo (la dirección IP de la interfaz de circuito cerrado en el servidor es 20.0.0.1). El identificador de grupo es 1.

Figura 2: Ejemplo de configuración de miembro del servidorEjemplo de configuración de miembro del servidor

Las SA vpn de grupo de fase 2 deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración de VPN de grupo debe incluir la configuración de negociaciones de fase 1 de IKE tanto en el servidor del grupo como en los miembros del grupo. Además, se debe configurar el mismo identificador de grupo tanto en el servidor del grupo como en los miembros del grupo.

Las políticas de grupo se configuran en el servidor de grupo. Todas las directivas de grupo configuradas para un grupo se descargan a los miembros del grupo. Las políticas de ámbito configuradas en un miembro de grupo determinan qué directivas de grupo están realmente instaladas en el miembro. En este ejemplo, las siguientes políticas de grupo se configuran en el servidor de grupo para su descarga en todos los miembros del grupo:

  • p1: permite todo el tráfico de 10.1.0.0/16 a 10.2.0.0./16

  • p2: permite todo el tráfico de 10.2.0.0./16 a 10.1.0.0/16

  • p3: permite el tráfico de multidifusión de 10.1.1.1/32

El dispositivo miembro1 está configurado con políticas de ámbito que permiten todo el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8. No hay ninguna política de ámbito configurada en member1 para permitir el tráfico de multidifusión; por lo tanto, la política de SA p3 no está instalada en member1.

El dispositivo miembro2 está configurado con políticas de ámbito que dejan caer el tráfico de 10.1.0.0/16 de la zona de confianza a la zona de desconfianza y a 10.1.0.0/16 desde la zona de desconfianza a la zona de confianza. Por lo tanto, la política de SA p2 no está instalada en member2.

Configuración

Configuración del servidor de grupo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar el servidor de grupo:

  1. Configure la dirección de circuito cerrado en el dispositivo.

  2. Configure SA de fase 1 de ICR (esta configuración debe coincidir con la SA de fase 1 configurada en los miembros del grupo).

  3. Defina la política de IKE y establezca las puertas de enlace remotas.

  4. Configure el intercambio sa de fase 2.

  5. Configure el identificador de grupo y la puerta de enlace IKE.

  6. Configure comunicaciones de servidor a miembro.

  7. Configure las directivas de grupo que se descargarán a los miembros del grupo.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security group-vpn server configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de miembro1

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar member1:

  1. Configurar SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).

  2. Defina la política de IKE y establezca las puertas de enlace remotas.

  3. Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member1.

    Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por los miembros del grupo para conectarse a la red MPLS se configure para un tamaño de MTU no mayor que 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de la MTU.

  4. Cree libretas de direcciones y adjunte zonas a ellas.

  5. Configure una política de ámbito de la zona de confianza a la zona de desconfianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

  6. Configure una política de ámbito de la zona de desconfianza a la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

Resultados

Desde el modo de configuración, escriba los comandos y show security policies para confirmar la show security group-vpn member configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de miembro2

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar member2:

  1. Configurar SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).

  2. Defina la política de IKE y establezca la puerta de enlace remota.

  3. Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member2.

    Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por los miembros del grupo para conectarse a la red MPLS se configure para un tamaño de MTU no mayor que 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de la MTU.

  4. Cree una libreta de direcciones y adjúntelo a la zona de confianza.

  5. Cree otra libreta de direcciones y adjúntelo a la zona de desconfianza.

  6. Configure una política de ámbito de la zona de confianza a la zona de no confianza que bloquee el tráfico de 10.1.0.0/16.

  7. Configure una política de ámbito de la zona de desconfianza a la zona de confianza que bloquee el tráfico a 10.1.0.0/16.

Resultados

Desde el modo de configuración, escriba los comandos y show security policies para confirmar la show security group-vpn member configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Verificar políticas dinámicas para miembros1

Propósito

Vea las políticas dinámicas instaladas en member1.

Acción

Después de que el servidor de grupo descargue las claves a member1, ingrese el comando desde el show security dynamic-policies modo operativo.

Significado

La política de multidifusión p3 del servidor no está instalada en member1 porque no hay ninguna política de ámbito configurada en member1 que permita el tráfico de multidifusión.

Verificar políticas dinámicas para member2

Propósito

Vea las políticas dinámicas instaladas en el miembro 2.

Acción

Después de que el servidor de grupo descargue las claves a member2, ingrese el comando desde el show security dynamic-policies modo operativo.

Significado

La política p2 (para el tráfico de 10.1.0.0/16 a 10.2.0.0/16) del servidor no está instalada en member2, ya que coincide con la política de seguridad deny2 configurada en member2.

Ejemplo: Configuración de la comunicación de grupo VPNv1 miembro del servidor para mensajes de reenclave de unidifusión

En este ejemplo, se muestra cómo permitir que el servidor envíe mensajes de reencripción de unidifusión a los miembros del grupo para garantizar que las claves válidas estén disponibles para cifrar el tráfico entre miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Requisitos

Antes de comenzar:

  • Configure el servidor de grupo y los miembros para la negociación de fase 1 de IKE.

  • Configure el servidor de grupo y los miembros para la SA IPsec de fase 2.

  • Configure el grupo g1 en el servidor del grupo.

Descripción general

En este ejemplo, especifique los siguientes parámetros de comunicación de miembro del servidor para el grupo g1:

  • El servidor envía mensajes de reclave de unidifusión a los miembros del grupo.

  • 3des-cbc se utiliza para cifrar el tráfico entre el servidor y los miembros.

  • sha1 se utiliza para la autenticación de miembro.

Los valores predeterminados se utilizan para los latidos del servidor, la vida útil de KEK y las retransmisiones.

Configuración

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar la comunicación entre los miembros del servidor:

  1. Establezca el tipo de comunicación.

  2. Establezca el algoritmo de cifrado.

  3. Establezca la autenticación de miembro.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server group g1 server-member-communication comando.

Ejemplo: Configuración de la comunicación de grupo VPNv1 miembro del servidor para mensajes de reclave de multidifusión

En este ejemplo, se muestra cómo permitir que el servidor envíe mensajes de reclave de multidifusión a los miembros del grupo para garantizar que las claves válidas estén disponibles para cifrar el tráfico entre miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Requisitos

Antes de comenzar:

Descripción general

En este ejemplo, se especifica la siguiente comunicación miembro del servidor para el grupo g1:

  • El servidor envía mensajes de rekey de multidifusión a los miembros del grupo mediante la dirección de multidifusión 226.1.1.1 y la interfaz ge-0/0/1.0.

  • 3des-cbc se utiliza para cifrar el tráfico entre el servidor y los miembros.

  • sha1 se utiliza para la autenticación de miembro.

Los valores predeterminados se utilizan para los latidos del servidor, la vida útil de KEK y las retransmisiones.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar la comunicación de miembro del servidor para mensajes de reclave de multidifusión:

  1. Establezca el tipo de comunicación.

  2. Establezca el grupo de multidifusión.

  3. Establezca la interfaz para los mensajes de multidifusión salientes.

  4. Establezca el algoritmo de cifrado.

  5. Establezca la autenticación de miembro.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security group-vpn server group g1 server-member-communication configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar la comunicación de miembro del servidor para mensajes de reclave de multidifusión

Propósito

Compruebe que los parámetros de comunicación de miembro del servidor para el mensaje de reclave de multidifusión estén configurados correctamente para garantizar que las claves válidas estén disponibles para cifrar el tráfico entre miembros del grupo.

Acción

Desde el modo operativo, ingrese el show security group-vpn server group g1 server-member-communication comando.

Ejemplo: Configuración del grupo VPNv1 con colocación de miembro del servidor

En este ejemplo, se muestra cómo configurar un dispositivo para el modo de colocación, lo que permite que las funciones de servidor y miembro coexistan en el mismo dispositivo físico. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.

Requisitos

Antes de comenzar:

Descripción general

Cuando se configura el modo de colocación, el servidor de grupo y las funciones miembro del grupo pueden coexistir en el mismo dispositivo. En el modo de colocación, el servidor y el miembro deben tener direcciones IP diferentes para que los paquetes se entreguen correctamente.

En Figura 3, una VPN de grupo (identificador de grupo es 1) consta de dos miembros (member1 y member2) y un servidor de grupo (la dirección IP de la interfaz de circuito cerrado es 20.0.0.1). Observe que member1 coexiste en el mismo dispositivo que el servidor de grupo. En este ejemplo, a la interfaz que el miembro1 utiliza para conectarse a la red MPLS (ge-0/1/0) se le asigna la dirección IP 10.1.0.1/32.

Figura 3: Ejemplo de colocación de miembro del servidorEjemplo de colocación de miembro del servidor

Las instrucciones de configuración de este tema describen cómo configurar el dispositivo de grupo miembro del servidor1 para el modo de colocación. Para configurar member2, consulte Ejemplo: Configuración del servidor VPNv1 del grupo y de los miembros.

Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS se configure para un tamaño de MTU no mayor que 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de la MTU.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar vpn de grupo con colocación de miembro del servidor:

  1. Configure la dirección de circuito cerrado en el dispositivo.

  2. Configure la interfaz que usa member1 para conectarse a la red MPLS.

  3. Configure la colocación de VPN de grupo en el dispositivo.

  4. Configure la SA de fase 1 de ICR para el servidor (esta configuración debe coincidir con la SA de fase 1 configurada en los miembros del grupo).

  5. Defina la política de IKE y establezca las puertas de enlace remotas.

  6. Configure el intercambio sa de fase 2 para el servidor.

  7. Configure el identificador de grupo, la puerta de enlace IKE, el tiempo de reproducción y la dirección del servidor en el servidor.

  8. Configure el servidor para las comunicaciones de los miembros.

  9. Configure las directivas de grupo que se descargarán a los miembros del grupo.

  10. Configure la SA de fase 1 para el miembro1 (esta configuración debe coincidir con la SA de fase 1 configurada para el servidor de grupo).

  11. Defina la política y establezca la puerta de enlace remota para member1.

  12. Configure el identificador de grupo, la puerta de enlace IKE y la interfaz para member1.

  13. Cree libretas de direcciones y adjúntelos a zonas.

  14. Configure una política de ámbito de la zona de confianza a la zona de desconfianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

  15. Configure una política de ámbito de la zona de desconfianza a la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.

Resultados

Desde el modo de configuración, escriba el comando y show security policies para confirmar la show security group-vpn configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

En la lista de políticas de seguridad configuradas, asegúrese de que las políticas de ámbito se enumeran antes que las políticas predeterminadas.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el registro de miembro de VPN de grupo

Propósito

Verifique que los miembros de VPN del grupo estén registrados correctamente.

Acción

Desde el modo operativo, ingrese el show security group-vpn registered-members comando.

Verificar asociaciones de seguridad de servidor VPN de grupo para IKE

Propósito

Verifique las SA para el servidor VPN del grupo para IKE.

Acción

Desde el modo operativo, ingrese el show security group-vpn server ike security-associations comando.

Verificar asociaciones de seguridad de servidor VPN de grupo para IPsec

Propósito

Compruebe las SA para el servidor VPN de grupo para IPsec.

Acción

Desde el modo operativo, ingrese el show security group-vpn server ipsec security-associations comando.

Verificar asociaciones de seguridad para miembros de VPN de grupo para IKE

Propósito

Verifique las SA para los miembros de VPN del grupo para IKE.

Acción

Desde el modo operativo, ingrese el show security group-vpn member ike security-associations comando.

Verificar asociaciones de seguridad de miembro de VPN de grupo para IPsec

Propósito

Compruebe las SA para los miembros de VPN del grupo para IPsec.

Acción

Desde el modo operativo, ingrese el show security group-vpn member ipsec security-associations comando.

Tabla de historial de versiones
Liberación
Descripción
12.3X48-D30
A partir de Junos OS versión 12.3X48-D30, los miembros del grupo VPNv1 pueden interoperar con servidores VPNv2 del grupo.
12.3X48-D30
A partir de Junos OS versión 12.3X48-D30, los miembros del grupo VPNv1 en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650 pueden interoperar con servidores VPNv2 del grupo.