VPNv1 de grupo
La VPN de grupo es un conjunto de funciones que son necesarias para proteger el tráfico de grupo de multidifusión IP o el tráfico de unidifusión a través de una WAN privada que se origina en un dispositivo o fluye a través de un dispositivo.
Descripción general del grupo VPNv1
Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red privada virtual (VPN) que define las reglas que se deben usar para los algoritmos de autenticación y cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con las implementaciones vpn actuales, la SA es un túnel de punto a punto entre dos dispositivos de seguridad. El grupo VPNv1 extiende la arquitectura de IPsec para admitir SA que son compartidas por un grupo de dispositivos de seguridad (consulte Figura 1).
El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. Con el grupo VPNv1, se logra la conectividad de todos con todos conservando las direcciones IP de origen y destino originales en el encabezado externo. Los paquetes de multidifusión segura se replican de la misma manera que los paquetes de multidifusión de texto sin formato en la red central.
A partir de Junos OS versión 12.3X48-D30, los miembros del grupo VPNv1 pueden interoperar con servidores del grupo VPNv2.
El grupo VPNv1 tiene algunas limitaciones de propiedad con respecto a RFC 6407, el dominio de interpretación del grupo (GDOI). Para usar VPN de grupo sin limitaciones de propiedad, actualice a vpnv2 del grupo. El grupo VPNv2 se admite en instancias de firewall virtual vSRX a partir de Junos OS versión 15.1X49-D30, firewalls serie SRX a partir de Junos OS versión 15.1X49-D40 y dispositivos serie MX a partir de Junos OS versión 15.1r2.
- Descripción del protocolo GDOI para el grupo VPNv1
- Descripción de las limitaciones de la VPNv1 del grupo
- Descripción de los servidores y miembros de VPNv1 del grupo
- Descripción de la comunicación del miembro del servidor VPNv1 del grupo
- Descripción de las operaciones de clave de grupo de VPNv1
- Descripción de los mensajes de latidos de VPNv1 del grupo
- Descripción del modo de colocación para miembros del servidor de VPNv1 del grupo
Descripción del protocolo GDOI para el grupo VPNv1
El grupo VPNv1 se basa en rfc 3547, el dominio de interpretación del grupo (GDOI). Este RFC describe el protocolo entre los miembros del grupo y un servidor de grupo para establecer SA entre los miembros del grupo. Los mensajes GDOI crean, mantienen o eliminan SA para un grupo de dispositivos. El protocolo GDOI se ejecuta en el puerto 848.
El Protocolo de administración de claves y asociación de seguridad de Internet (ISAKMP) define dos fases de negociación para establecer SA para un túnel IPsec de IKE de clave automática. La fase 1 permite que dos dispositivos establezcan una SA ISAKMP. La fase 2 establece SA para otros protocolos de seguridad, como GDOI.
Con VPN de grupo, la negociación de SA ISAKMP de fase 1 se realiza entre un servidor de grupo y un miembro del grupo. El servidor y el miembro deben usar la misma política ISAKMP. En la fase 2, los intercambios de GDOI entre el servidor y el miembro establecen las SA que se comparten con otros miembros del grupo. Un miembro de grupo no necesita negociar IPsec con otros miembros del grupo. Los intercambios de GDOI en la fase 2 deben estar protegidos por las SA de fase 1 del ISAKMP.
Hay dos tipos de intercambios GDOI:
El
groupkey-pullintercambio permite que un miembro solicite sas y claves compartidas por el grupo desde el servidor.El
groupkey-pushintercambio es un único mensaje de reclave que permite al servidor enviar SA y claves de grupo a los miembros antes de que expiren las SA de grupo existentes. Los mensajes de reenclave son mensajes no solicitados que se envían desde el servidor a los miembros.
Descripción de las limitaciones de la VPNv1 del grupo
No se admiten los siguientes elementos en esta versión para el grupo VPNv1:
Instancias de enrutamiento no predeterminadas
Clúster de chasis
Clústeres de servidores
VPN de grupo basada en rutas
Despliegue público basado en Internet
SNMP
Política de denegación del servidor VPN GET de Cisco
Interfaz J-Web para configuración y monitoreo
A partir de Junos OS versión 12.3X48-D30, los miembros del grupo VPNv1 en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650 pueden interoperar con servidores del grupo VPNv2. Cuando configure miembros del grupo VPNv1 para su uso con servidores vpnv2 del grupo, tenga en cuenta las siguientes limitaciones:
El grupo VPNv2 admite el protocolo de detección de retrasos en la entrega de IP del borrador de la especificación IETF para un mecanismo antireplay basado en el tiempo. Por lo tanto, la detección de retrasos en la entrega de IP antireplay basada en protocolo no se admite en los miembros del grupo VPNv1 y debe deshabilitarse en el servidor del grupo VPNv2 con el
deactivate security group-vpn server group group-name anti-replay-time-windowcomando.El servidor VPNv2 del grupo no admite colocación, donde las funciones del servidor de grupo y miembro del grupo existen en el mismo dispositivo.
El servidor VPNv2 del grupo no admite transmisiones de latidos. Latidos debe estar deshabilitado en el miembro del grupo VPNv1 con el
deactivate security group-vpn member ipsec vpn vpn-name heartbeat-thresholdcomando. Recomendamos usar clústeres de servidores del grupo VPNv2 para evitar impactos de tráfico debido a reinicios u otras interrupciones en el servidor VPNv2 del grupo.Los mensajes de inserción de clave de grupo enviados desde el servidor VPNv2 del grupo se basan en RFC 6407, el dominio de interpretación del grupo (GDOI) y no son compatibles con los miembros del grupo VPNv1. Por lo tanto, los mensajes push de clave de grupo se deben deshabilitar en el servidor VPNv2 del grupo con el
deactivate security group-vpn server group group-name server-member-communicationcomando.Las rekeys se admiten con los mensajes de extracción de claves de grupo. Si hay problemas de escalabilidad en los que los miembros del grupo VPNv1 no pueden completar la operación de extracción de claves del grupo antes de que expire la vida útil de TEK, recomendamos aumentar la vida útil de TEK para que los miembros puedan completar la operación de extracción de claves de grupo. Los números de escala de Juniper están calificados con una vida útil de TEK de 2 horas.
Si se reinicia o actualiza el servidor VPNv2 del grupo o se borran las SA del grupo, no se pueden agregar nuevos miembros a la red hasta que se produzca la siguiente reclave para los miembros existentes. Los nuevos miembros no pueden enviar tráfico a miembros existentes que tengan claves antiguas. Como solución alternativa, desactive las SA en los miembros del grupo VPNv1 existentes con el
clear security group-vpn member ipsec security-associationscomando.Dado que el tráfico de datos de multidifusión no es compatible con los miembros del grupo VPNv2, el tráfico de datos de multidifusión no se puede usar cuando los miembros del grupo VPNv1 y del grupo VPNv2 coexisten en la red para el mismo grupo.
Descripción de los servidores y miembros de VPNv1 del grupo
El centro de una VPN de grupo es el servidor de grupo. El servidor de grupo realiza las siguientes tareas:
Controla la pertenencia a grupo
Genera claves de cifrado
Administra las claves y las SA del grupo, y las distribuye a los miembros del grupo
Los miembros del grupo cifran el tráfico según las SA y las claves proporcionadas por el servidor de grupo.
Un servidor de grupos puede dar servicio a varios grupos. Un solo dispositivo de seguridad puede ser miembro de varios grupos.
Cada grupo está representado por un identificador de grupo, que es un número comprendido entre el 1 y el 65.535. El servidor de grupo y los miembros del grupo están vinculados entre sí por el identificador de grupo. Solo puede haber un identificador de grupo por grupo y varios grupos no pueden usar el mismo identificador de grupo.
La siguiente es una vista de alto nivel del servidor VPN de grupo y las acciones de los miembros:
El servidor de grupo escucha en el puerto UDP 848 para que los miembros se registren. Un dispositivo miembro debe proporcionar la autenticación de fase 1 de IKE correcta para unirse al grupo. Se admite la autenticación de clave previamente compartida por miembro.
Cuando la autenticación y el registro se han realizado correctamente, el dispositivo miembro recupera las SA y las claves del grupo del servidor con un intercambio GDOI
groupkey-pull.El servidor agrega el miembro a la pertenencia del grupo.
Los miembros del grupo intercambian paquetes cifrados con claves SA de grupo.
El servidor envía periódicamente actualizaciones de SA y claves a los miembros del grupo con mensajes de reclave (GDOI groupkey-push). Los mensajes de reenclave se envían antes de que expiren las SA; esto garantiza que las claves válidas estén disponibles para cifrar el tráfico entre los miembros del grupo.
El servidor también envía mensajes de rekey para proporcionar nuevas claves a los miembros cuando se produce un cambio en la pertenencia al grupo o cuando la SA del grupo ha cambiado.
Descripción de la comunicación del miembro del servidor VPNv1 del grupo
El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. La comunicación de miembro del servidor permite que el servidor envíe mensajes GDOI groupkey-push a los miembros. Si la comunicación de miembro del servidor no está configurada para el grupo, los miembros pueden enviar mensajes GDOI groupkey-pull para registrarse y volver a registrarse en el servidor, pero el servidor no puede enviar mensajes de reclave a los miembros.
La comunicación del miembro del servidor se configura para el grupo mediante la server-member-communication instrucción de configuración en la jerarquía [edit security group-vpn server]. Se pueden definir las siguientes opciones:
Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede especificar 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc o des-cbc. No hay un algoritmo predeterminado.
Algoritmo de autenticación (md5 o sha1) utilizado para autenticar al miembro en el servidor. No hay un algoritmo predeterminado.
Si el servidor envía mensajes de reen clave de unidifusión o multidifusión a los miembros del grupo y parámetros relacionados con el tipo de comunicación.
Intervalo en el que el servidor envía mensajes de latidos al miembro del grupo. Esto permite que el miembro determine si el servidor se ha reiniciado, lo que requeriría que el miembro se vuelva a registrar con el servidor. El valor predeterminado es de 300 segundos.
Vida útil de la clave de cifrado (KEK). El valor predeterminado es de 3600 segundos.
La configuración de la comunicación entre los miembros del servidor es necesaria para que el servidor del grupo envíe mensajes de reclave a los miembros, pero es posible que haya situaciones en las que no se desee este comportamiento. Por ejemplo, si los miembros del grupo son pares dinámicos (como en una oficina en casa), los dispositivos no siempre están activados y la dirección IP de un dispositivo puede ser diferente cada vez que se enciende. Configurar la comunicación de miembro del servidor para un grupo de pares dinámicos puede dar lugar a transmisiones innecesarias por parte del servidor. Si desea que la negociación de SA de fase 1 de IKE siempre se lleve a cabo para proteger la negociación de GDOI, no configure la comunicación de miembro del servidor.
Si la comunicación de miembro del servidor para un grupo no está configurada, la lista de miembros que muestra el comando muestra los miembros del show security group-vpn server registered-members grupo que se han registrado en el servidor; los miembros pueden estar activos o no. Cuando se configura la comunicación de miembro del servidor para un grupo, se borra la lista de miembros de grupo. Si el tipo de comunicación está configurado como unidifusión, el show security group-vpn server registered-members comando solo muestra los miembros activos. Si el tipo de comunicación está configurado como multidifusión, el comando muestra los show security group-vpn server registered-members miembros que se han registrado en el servidor después de la configuración; la lista de miembros no representa necesariamente a los miembros activos, ya que los miembros pueden abandonar después del registro.
Descripción de las operaciones de clave de grupo de VPNv1
Este tema contiene las siguientes secciones:
Claves de grupo
El servidor de grupos mantiene una base de datos para realizar un seguimiento de la relación entre grupos VPN, miembros de grupo y claves de grupo. Hay dos tipos de claves de grupo que el servidor descarga a los miembros:
Clave de cifrado (KEK): se utiliza para cifrar mensajes de reenclave. Se admite un KEK por grupo.
Clave de cifrado de tráfico (TEK): se utiliza para cifrar y descifrar el tráfico de datos IPsec entre los miembros del grupo.
La clave asociada con una SA solo la acepta un miembro del grupo si hay una política de ámbito coincidente configurada en el miembro. Una clave aceptada se instala para la VPN del grupo, mientras que una clave rechazada se descarta.
Mensajes de reenclave
Si el grupo está configurado para las comunicaciones de los miembros del servidor, el servidor envía periódicamente actualizaciones de SA y claves a los miembros del grupo con mensajes de rekey (GDOI groupkey-push). Los mensajes de reenclave se envían antes de que expiren las SA; esto garantiza que las claves válidas estén disponibles para cifrar el tráfico entre los miembros del grupo.
El servidor también envía mensajes de rekey para proporcionar nuevas claves a los miembros cuando se produce un cambio en la pertenencia al grupo o cuando la SA del grupo ha cambiado (por ejemplo, se agrega o elimina una política de grupo).
Las opciones de comunicación para miembros del servidor deben configurarse en el servidor para permitir que el servidor envíe mensajes de reclave a los miembros del grupo. Estas opciones especifican el tipo de mensaje y los intervalos en los que se envían los mensajes, como se explica en las siguientes secciones:
Hay dos tipos de mensajes de reenclave:
Mensajes de reen clave de unidifusión: el servidor de grupo envía una copia del mensaje de reclave a cada miembro del grupo. Al recibir el mensaje de rekey, los miembros deben enviar un acuse de confirmación (ACK) al servidor. Si el servidor no recibe una ACK de un miembro (incluida la retransmisión de mensajes de rekey), el servidor considera que el miembro está inactivo y lo elimina de la lista de miembros. El servidor deja de enviar mensajes de rekey al miembro.
Las
number-of-retransmissioninstrucciones de configuración yretransmission-periodde las comunicaciones de los miembros del servidor controlan la reenvío de mensajes de reen clave por parte del servidor cuando no se recibe ninguna ACK de un miembro.Mensajes de reen clave de multidifusión: el servidor de grupo envía una copia del mensaje de rekey desde la interfaz de salida especificada a la dirección de grupo de multidifusión configurada. Los miembros no envían acuso de recepción de mensajes de reen clave de multidifusión. La lista de miembros registrados no representa necesariamente a los miembros activos, ya que es posible que abandonen el registro inicial. Todos los miembros del grupo deben estar configurados para admitir mensajes de multidifusión.
Los protocolos de multidifusión IP deben configurarse para permitir la entrega de tráfico de multidifusión en la red. Para obtener información detallada acerca de la configuración de protocolos de multidifusión en dispositivos de Juniper Networks, consulte la Guía del usuario de protocolos de multidifusión .
El intervalo en el que el servidor envía mensajes de rekey se calcula en función de los valores de las lifetime-seconds instrucciones de configuración y activation-time-delay de la jerarquía [edit security group-vpn server group]. El intervalo se calcula como lifetime-seconds minus 4*(activation-time-delay).
El lifetime-seconds para el KEK está configurado como parte de las comunicaciones del miembro del servidor; el valor predeterminado es de 3600 segundos. El lifetime-seconds para el TEK está configurado para la propuesta IPsec; el valor predeterminado es de 3600 segundos. Está activation-time-delay configurado para el grupo en el servidor; el valor predeterminado es de 15 segundos. Con los valores predeterminados para lifetime-seconds y activation-time-delay, el intervalo en el que el servidor envía mensajes de reclave es 3600 minus 4*15de , o 3540 segundos.
Registro de miembros
Si un miembro del grupo no recibe una nueva clave SA del servidor antes de que expire la clave actual, el miembro debe volver a registrarse en el servidor y obtener claves actualizadas con un intercambio GDOI groupkey-pull . En este caso, el intervalo en el que el servidor envía mensajes de rekey se calcula de la siguiente manera: lifetime-seconds menos 3*(activation-time-delay). Con los valores predeterminados para lifetime-seconds y activation-time-delay, el intervalo en el que el servidor envía mensajes de rekey es de 3600 menos 3*15 o 3555 segundos.
La reinscripción de los miembros puede producirse por las siguientes razones:
El miembro detecta un reinicio del servidor por la ausencia de latidos recibidos del servidor.
El mensaje de rekey del servidor del grupo se pierde o se retrasa, y la vida útil de TEK ha vencido.
Activación de claves
Cuando un miembro recibe una nueva clave del servidor, espera un período de tiempo antes de usar la clave para el cifrado. Este período de tiempo lo determina la activation-time-delay instrucción de configuración y si la clave se recibe a través de un mensaje de rekey enviado desde el servidor o como resultado de que el miembro se vuelva a registrar en el servidor.
Si la clave se recibe a través de un mensaje de rekey enviado desde el servidor, el miembro espera 2*(activation-time-delay) segundos antes de usar la clave. Si la clave se recibe mediante la reinscripción del miembro, el miembro espera el número de segundos especificado por el activation-time-delay valor.
Un miembro conserva las dos claves más recientes enviadas desde el servidor para cada SA de grupo instalada en el miembro. Ambas claves se pueden utilizar para el descifrado, mientras que la clave más reciente se utiliza para el cifrado. La clave anterior se quita el número de segundos especificado por el activation-time-delay valor después de activar la nueva clave.
El valor predeterminado para la activation-time-delay instrucción de configuración es de 15 segundos. Establecer este período de tiempo demasiado pequeño puede dar lugar a que un paquete se caiga en un miembro de grupo remoto antes de instalar la nueva clave. Tenga en cuenta los retrasos en la topología de red y el transporte del sistema al cambiar el activation-time-delay valor. En el caso de las transmisiones de unidifusión, el retraso de transporte del sistema es proporcional al número de miembros del grupo.
Un servidor VPNv1 de grupo puede enviar varias claves de cifrado de tráfico (TEKs) a un miembro VPNv1 de grupo en respuesta a una groupkey-pull solicitud. A continuación se describe cómo el miembro del grupo VPNv1 maneja los TEK existentes y los TEK que recibe del servidor:
Si el miembro del grupo VPNv1 recibe dos o más TEKs, conserva los dos TEK más recientes y elimina el TEK existente. De los dos TEK retenidos, el TEK más antiguo se activa de inmediato, y el TEK más nuevo se activa después de que haya transcurrido la
activation-time-delayconfiguración en el servidor VPNv1 del grupo (el valor predeterminado es de 15 segundos).Si el miembro del grupo VPNv1 recibe solo un TEK, o si recibe un TEK a través de un
groupkey-pushmensaje del servidor, el TEK existente no se elimina hasta que caduca la vida útil. La vida útil no se acorta para el TEK existente.
El miembro del grupo VPNv1 aún instala un TEK recibido incluso si la vida útil de TEK es inferior a dos veces el activation-time-delay valor.
Descripción de los mensajes de latidos de VPNv1 del grupo
Cuando se configura la comunicación entre el servidor y el servidor, el servidor VPNv1 del grupo envía mensajes de latido a los miembros a intervalos especificados (el intervalo predeterminado es de 300 segundos). El mecanismo de latido permite a los miembros volver a registrarse en el servidor si no se recibe el número especificado de latidos. Por ejemplo, los miembros no recibirán mensajes de latidos durante el reinicio del servidor. Cuando el servidor se ha reiniciado, los miembros se vuelven a registrar con el servidor.
Los latidos se transmiten a través de groupkey-push mensajes. El número de secuencia se incrementa en cada mensaje de latido, lo que protege a los miembros de los ataques de respuesta. A diferencia de los mensajes de rekey, los destinatarios no reconocen los mensajes de latido y el servidor no los retransmite.
Los mensajes de latido contienen la siguiente información:
Estado y configuración actuales de las claves del servidor
Tiempo relativo, si el antireplay está habilitado
Al comparar la información en los latidos, un miembro puede detectar si ha perdido información del servidor o mensajes de reenclave. El miembro se vuelve a registrar para sincronizarse con el servidor.
Los mensajes de latidos pueden aumentar la congestión de la red y causar reregistros innecesarios de miembros. Por lo tanto, la detección de latidos se puede deshabilitar en el miembro si es necesario.
Descripción del modo de colocación para miembros del servidor de VPNv1 del grupo
Las funciones de servidor de grupo y miembro de grupo son independientes y no se superponen. Las funciones de servidor y miembro pueden coexistir en el mismo dispositivo físico, lo que se conoce como modo de colocación. En el modo de colocación, no se produce ningún cambio en términos de funcionalidad y comportamiento del servidor o de un miembro, pero al servidor y al miembro cada uno se les deben asignar diferentes direcciones IP para que los paquetes se puedan entregar correctamente. En el modo de colocación, solo puede haber una dirección IP asignada al servidor y una dirección IP asignada al miembro en todos los grupos.
Consulte también
Descripción general de la configuración del grupo VPNv1
En este tema se describen las tareas principales para configurar el grupo VPNv1.
En el servidor de grupo, configure lo siguiente:
- Negociación de fase 1 de ICR. Utilice la jerarquía [
edit security group-vpn server ike] para configurar la SA de fase 1 de IKE. Consulte Descripción de la configuración de fase 1 de ICR para el grupo VPNv2 . - SA IPsec de fase 2. Consulte Descripción de la configuración de SA de IPsec para el grupo VPNv1.
- Grupo VPN. Consulte Descripción general de la configuración del grupo VPNv1.
En el miembro del grupo, configure lo siguiente:
Negociación de fase 1 de ICR. Utilice la jerarquía [
edit security group-vpn member ike] para configurar la SA de fase 1 de IKE. Consulte Descripción de la configuración de fase 1 de ICR para el grupo VPNv1 .SA IPsec de fase 2. Consulte Descripción de la configuración de SA de IPsec para el grupo VPNv1.
Política de ámbito que determina qué políticas de grupo se instalan en el miembro. Consulte Descripción de políticas dinámicas para el grupo VPNv1.
Para evitar problemas de fragmentación de paquetes, se recomienda que la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS esté configurada para un tamaño máximo de unidad de transmisión (MTU) no superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de MTU.
El grupo VPN se configura en el servidor con la group instrucción de configuración en la jerarquía [edit security group-vpn server].
La información de grupo consta de la siguiente información:
Identificador de grupo: valor entre 1 y 65 535 que identifica al grupo vpn. Se debe configurar el mismo identificador de grupo en el miembro del grupo para IKE de clave automática.
Miembros de grupo, como se configuró con la
ike-gatewayinstrucción de configuración. Puede haber varias instancias de esta instrucción de configuración, una para cada miembro del grupo.Dirección IP del servidor (se recomienda la dirección de interfaz de circuito cerrado).
Políticas de grupo: políticas que se descargarán a los miembros. Las políticas de grupo describen el tráfico al que se aplican la SA y las claves. Consulte Descripción de políticas dinámicas para el grupo VPNv1.
Comunicación de miembro del servidor: configuración opcional que permite que el servidor envíe mensajes de reclave a los miembros. Consulte Descripción general del grupo VPNv1.
Antireplay: configuración opcional que detecta la intercepción y la reproducción de paquetes. Consulte Descripción de Antireplay para grupo VPNv1.
Descripción de la configuración de fase 1 de ICR para el grupo VPNv1
Una SA de fase 1 de ICR entre el servidor del grupo y un miembro del grupo establece un canal seguro en el que negociar SA de IPsec que un grupo comparte. Para VPN IPsec estándar en dispositivos de seguridad de Juniper Networks, la configuración de SA de fase 1 consiste en especificar una propuesta, política y puerta de enlace de ICR. Para el grupo VPNv1, la configuración de SA de fase 1 de IKE es similar a la configuración para VPN de IPsec estándar, pero se realiza en la jerarquía [edit security group-vpn].
En la configuración de la propuesta de ICR, se establece el método de autenticación y los algoritmos de autenticación y cifrado que se usarán para abrir un canal seguro entre los participantes. En la configuración de la política de ICR, se establece el modo (principal o agresivo) en el que se negociará el canal de fase 1, se especifica el tipo de intercambio de claves que se va a usar y se hace referencia a la propuesta de fase 1. En la configuración de puerta de enlace de ICR, se hace referencia a la política de fase 1.
Dado que el grupo VPNv2 solo admite algoritmos fuertes, la opción de sha-256 algoritmo de autenticación es compatible con los miembros del grupo VPNv1 en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 y SRX650. Cuando los miembros del grupo VPNv1 interoperan con servidores vpnv2 del grupo, esta opción debe configurarse en los miembros del grupo VPNv1 con el edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 comando. En el servidor VPNv2 del grupo, authentication-algorithm sha-256 debe configurarse para las propuestas de IKE y authentication-algorithm hmac-sha-256-128 debe configurarse para las propuestas de IPsec.
Si una puerta de enlace IKE en un miembro del grupo VPNv1 está configurada con más de una dirección de puerta de enlace, se muestra el mensaje de error "Solo se permite configurar una dirección remota por configuración de puerta de enlace de IKE" cuando se confirma la configuración.
La configuración de fase 1 de IKE en el servidor de grupo debe coincidir con la configuración de fase 1 de IKE en los miembros del grupo.
Descripción de la configuración de SA IPsec para el grupo VPNv1
Después de que el servidor y el miembro hayan establecido un canal seguro y autenticado en la negociación de fase 1, pasan por la fase 2. La negociación de fase 2 establece las SA de IPsec que comparten los miembros del grupo para proteger los datos que se transmiten entre los miembros. Aunque la configuración de SA IPsec para VPN de grupo es similar a la configuración para VPN estándar, un miembro del grupo no necesita negociar la SA con otros miembros del grupo.
La configuración de IPsec de fase 2 para el grupo VPNv1 consta de la siguiente información:
Una propuesta para el protocolo de seguridad, la autenticación y el algoritmo de cifrado que se utilizará para la SA. La propuesta de SA IPsec se configura en el servidor de grupo con la
proposalinstrucción de configuración en la jerarquía [edit security group-vpn server ipsec].Una política de grupo que hace referencia a la propuesta. Una política de grupo especifica el tráfico (protocolo, dirección de origen, puerto de origen, dirección de destino y puerto de destino) al que se aplican la SA y las claves. La política de grupo se configura en el servidor con la
ipsec-sainstrucción de configuración en la jerarquía [edit security group-vpn server group].Una ICR de clave automática que haga referencia al identificador de grupo, al servidor de grupo (configurado con la
ike-gatewayinstrucción de configuración) y a la interfaz que el miembro usa para conectarse al grupo. La ICR de clave automática se configura en el miembro con laipsec vpninstrucción de configuración en la jerarquía [edit security group-vpn member].
Descripción de las políticas dinámicas para el grupo VPNv1
El servidor de grupo distribuye las SA y las claves del grupo a los miembros de un grupo especificado. Todos los miembros que pertenecen al mismo grupo pueden compartir el mismo conjunto de SA de IPsec. Pero no todas las SA configuradas para un grupo se instalan en cada miembro del grupo. La SA instalada en un miembro específico viene determinada por la política asociada con la SA del grupo y las políticas de seguridad configuradas en el miembro.
En un grupo VPN, cada SA y clave de grupo que el servidor envía a un miembro se asocia con una política de grupo. La política de grupo describe el tráfico en el que se debe usar la clave, incluyendo el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino.
Las políticas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino, puerto de origen, puerto de destino y valores de protocolo) no pueden existir para un solo grupo. Se devuelve un error si intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo. Si este es el caso, debe eliminar una de las políticas de grupo idénticas.
En un miembro de grupo, se debe configurar una política de ámbito que defina el ámbito de la política de grupo descargada del servidor. Se compara una política de grupo distribuida desde el servidor con las políticas de ámbito configuradas en el miembro. Para que se instale una directiva de grupo en el miembro, se deben cumplir las siguientes condiciones:
Las direcciones especificadas en la directiva de grupo deben estar dentro del rango de direcciones especificadas en la política de ámbito.
El puerto de origen, el puerto de destino y el protocolo especificados en la política de grupo deben coincidir con los configurados en la política de ámbito.
Una política de grupo que se instala en un miembro se denomina política dinámica.
Una política de alcance puede formar parte de una lista ordenada de políticas de seguridad para un contexto específico de zona y a zona. Junos OS realiza una búsqueda de políticas de seguridad en los paquetes entrantes a partir de la parte superior de la lista ordenada.
Según la posición de la política de alcance dentro de la lista ordenada de políticas de seguridad, hay varias posibilidades para la búsqueda de políticas dinámicas:
Si el paquete entrante coincide con una política de seguridad antes de que se considere la política de ámbito, no se realiza una búsqueda de política dinámica.
Si una política entrante coincide con una política de ámbito, el proceso de búsqueda continúa para una política dinámica coincidente. Si hay una política dinámica coincidente, se realiza esa acción de política (permitir). Si no hay ninguna política dinámica coincidente, el proceso de búsqueda continúa buscando las políticas debajo de la política de alcance.
En esta versión, solo se permite la
tunnelacción para una política de ámbito. No se admiten otras acciones.
Puede configurar una política de ámbito en un miembro de grupo mediante la policies instrucción de configuración en la jerarquía [edit security]. Utilice la ipsec-group-vpn instrucción de configuración en la regla de permiso de túnel para hacer referencia a la VPN del grupo; esto permite que los miembros del grupo compartan una sola SA.
Consulte también
Descripción de Antireplay para grupo VPNv1
Antireplay es una función de IPsec que puede detectar cuando un paquete es interceptado y luego reproducido por los atacantes. Antireplay está habilitado de forma predeterminada para VPN de grupo, pero se puede deshabilitar para un grupo con la no-anti-replay instrucción de configuración.
Cuando está habilitado el antireplay, el servidor de grupo sincroniza el tiempo entre los miembros del grupo. Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de hora del paquete está dentro del valor configurado anti-replay-time-window (el valor predeterminado es de 100 segundos). Se pierde un paquete si la marca de hora supera el valor.
Consulte también
Ejemplo: Configuración del servidor y miembros de VPNv1 del grupo
En este ejemplo, se muestra cómo configurar el grupo VPNv1 para extender la arquitectura de IPsec para admitir SA que son compartidas por un grupo de dispositivos de seguridad. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Requisitos
Antes de empezar:
Configure los dispositivos de seguridad de Juniper Networks para la comunicación de red.
Configure interfaces de red en dispositivos de servidor y miembro. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
En Figura 2, una VPN de grupo consta de dos dispositivos miembros (member1 y member2) y un servidor de grupo (la dirección IP de la interfaz de circuito cerrado en el servidor es 20.0.0.1). El identificador de grupo es 1.
Las SA VPN del grupo de fase 2 deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración de VPN de grupo debe incluir la configuración de las negociaciones de fase 1 de IKE tanto en el servidor de grupo como en los miembros del grupo. Además, se debe configurar el mismo identificador de grupo tanto en el servidor de grupo como en los miembros del grupo.
Las políticas de grupo se configuran en el servidor de grupo. Todas las políticas de grupo configuradas para un grupo se descargan a los miembros del grupo. Las políticas de ámbito configuradas en un miembro de grupo determinan qué políticas de grupo están realmente instaladas en el miembro. En este ejemplo, se configuran las siguientes políticas de grupo en el servidor de grupo para descargar a todos los miembros del grupo:
p1— Permite todo el tráfico desde 10.1.0.0/16 hasta 10.2.0.0./16
p2— Permite todo el tráfico desde 10.2.0.0./16 hasta 10.1.0.0/16
p3: permite el tráfico de multidifusión desde 10.1.1.1/32
El dispositivo member1 está configurado con políticas de alcance que permiten que todo el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8. No hay ninguna política de ámbito configurada en member1 para permitir tráfico de multidifusión; por lo tanto, la política de SA p3 no está instalada en member1.
El dispositivo member2 está configurado con políticas de alcance que dejan caer tráfico de 10.1.0.0/16 desde la zona de confianza a la zona de no confianza y a 10.1.0.0/16 desde la zona de no confianza a la zona de confianza. Por lo tanto, la política de SA p2 no está instalada en member2.
Configuración
Configuración del servidor de grupo
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el servidor de grupo:
Configure la dirección de circuito cerrado en el dispositivo.
[edit] user@host# edit interfaces user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Configure la SA de fase 1 de ICR (esta configuración debe coincidir con la SA de fase 1 configurada en los miembros del grupo).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina la política de ICR y establezca las puertas de enlace remotas.
[edit security group-vpn server ike] user@host# set policy srv-pol mode main proposals srv-prop pre-shared-key ascii-text "$ABC123" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Configure el intercambio de SA de fase 2.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1–96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Configure el identificador de grupo y la puerta de enlace de IKE.
[edit security group-vpn server group grp1] user@host# set group-id 1 user@host# set ike-gateway gw1 user@host# set ike-gateway gw2 user@host# set anti-replay-time-window 120 server-address 20.0.0.1
Configure las comunicaciones de servidor a miembro.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Configure las políticas de grupo que se descargarán a los miembros del grupo.
[edit security group-vpn server group grp1 ipsec-sa group-sa] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security group-vpn server configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security group-vpn server
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de miembro1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar member1:
Configure sa de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).
[edit security group-vpn member ike proposal prop1] user@member1# set authentication-method pre-shared-keys user@member1# set dh-group group2 user@member1# set authentication-algorithm sha1 user@member1# set encryption-algorithm 3des-cbc
Defina la política de ICR y establezca las puertas de enlace remotas.
[edit security group-vpn member ike] user@member1# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$ABC123" user@member1# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz para member1.
[edit security group-vpn member ipsec] user@member1# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz que utilizan los miembros del grupo para conectarse a la red MPLS se configure para un tamaño de MTU no mayor a 1400 bytes. Utilice la
set interface mtuinstrucción de configuración para establecer el tamaño de MTU.Cree libretas de direcciones y adjunte zonas.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Configure una política de ámbito desde la zona de confianza hasta la zona de no confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Configure una política de alcance desde la zona de no confianza hasta la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security group-vpn member configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@member1# show security group-vpn member
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member1# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de Member2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 dh-group group2 set security group-vpn member ike proposal prop2 authentication-algorithm sha1 set security group-vpn member ike proposal prop2 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol2 mode main set security group-vpn member ike policy pol2 proposals prop2 set security group-vpn member ike policy pol2 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g2 ike-policy pol2 set security group-vpn member ike gateway g2 address 20.0.0.1 set security group-vpn member ike gateway g2 local-address 10.2.0.1 set security group-vpn member ipsec vpn v2 ike-gateway g2 set security group-vpn member ipsec vpn v2 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v2 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 address 10_1_0_0_16 10.1.0.0/16 set security address-book book1 address multicast_net 239.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 address 10_1_0_0_16 10.1.0.0/16 set security address-book book2 address multicast_net 239.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy deny2 match source-address 10_1_0_0_16 set security policies from-zone trust to-zone untrust policy deny2 match destination-address any set security policies from-zone trust to-zone untrust policy deny2 match application any set security policies from-zone trust to-zone untrust policy deny2 then reject set security policies from-zone trust to-zone untrust policy scope2 match source -address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match application any set security policies from-zone trust to-zone untrust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone trust to-zone untrust policy multicast-scope2 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address multicast-net set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies from-zone untr set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16 set security policies from-zone untrust to-zone trust policy deny2 match application any set security policies from-zone untrust to-zone trust policy deny2 then reject set security policies from-zone untrust to-zone trust policy scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match application any set security policies from-zone untrust to-zone trust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address multicast-net set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar member2:
Configure sa de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en el servidor de grupo).
[edit security group-vpn member ike proposal prop2] user@member2# set authentication-method pre-shared-keys user@member2# set dh-group group2 user@member2# set authentication-algorithm sha1 user@member2# set encryption-algorithm 3des-cbc
Defina la política de ICR y establezca la puerta de enlace remota.
[edit security group-vpn member ike] user@member2# set policy pol2 mode main proposals prop2 pre-shared-key ascii-text "$ABC123" user@member2# set gateway g2 ike-policy pol2 address 20.0.0.1 local-address 10.2.0.1
Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz para member2.
[edit security group-vpn member ipsec] user@member2# set vpn v2 group 1 ike-gateway g2 group-vpn-external-interface ge-0/1/0
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz que utilizan los miembros del grupo para conectarse a la red MPLS se configure para un tamaño de MTU no mayor a 1400 bytes. Utilice la
set interface mtuinstrucción de configuración para establecer el tamaño de MTU.Cree una libreta de direcciones y adjunte a la zona de confianza.
[edit security address-book book1] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone trust
Cree otra libreta de direcciones y adjunte a la zona de no confianza.
[edit security address-book book2] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone untrust
Configure una política de ámbito desde la zona de confianza hasta la zona de no confianza que bloquee el tráfico de 10.1.0.0/16.
[edit security policies from-zone trust to-zone untrust] user@member2# set policy deny2 match source-address 10_1_0_0_16 destination-address any application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Configure una política de ámbito desde la zona de no confianza hasta la zona de confianza que bloquea el tráfico a 10.1.0.0/16.
[edit security policies from-zone untrust to-zone trust] user@member2# set policy deny2 match source-address any destination-address 10_1_0_0_16 application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security group-vpn member configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@member2# show security group-vpn member
ike {
proposal prop2 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol2 {
mode main;
proposals prop2;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g2 {
ike-policy pol2;
address 20.0.0.1;
local-address 10.2.0.1;
}
}
ipsec {
vpn v2 {
ike-gateway g2;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member2# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy deny2 {
match {
source-address 10_1_0_0_16;
destination-address any;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny2 {
match {
source-address any;
destination-address 10_1_0_0_16;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice esta tarea:
Verificar políticas dinámicas para Member1
Propósito
Vea las políticas dinámicas instaladas en member1.
Acción
Después de que el servidor de grupo descargue las claves a member1, ingrese el comando desde el show security dynamic-policies modo operativo.
user@member1> show security dynamic-policies
Policy: scope1-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope1–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Significado
La política de multidifusión p3 del servidor no está instalada en member1 porque no hay ninguna política de ámbito configurada en member1 que permita el tráfico de multidifusión.
Verificar políticas dinámicas para Member2
Propósito
Vea las políticas dinámicas instaladas en el miembro 2.
Acción
Después de que el servidor de grupo descargue las claves a member2, ingrese el comando desde el show security dynamic-policies modo operativo.
user@member2> show security dynamic-policies
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.2.0.0/16/0
Destination addresses: 10.1.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Significado
La política p2 (para el tráfico de 10.1.0.0/16 a 10.2.0.0/16) del servidor no está instalada en member2, porque coincide con la política de seguridad deny2 configurada en member2.
Ejemplo: Configuración de la comunicación de miembro del servidor VPNv1 del grupo para mensajes de clave de unidifusión
En este ejemplo, se muestra cómo habilitar el servidor para enviar mensajes de reen clave de unidifusión a los miembros del grupo para garantizar que haya claves válidas disponibles para cifrar el tráfico entre los miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Requisitos
Antes de empezar:
Configure el servidor de grupo y los miembros para la negociación de fase 1 de IKE.
Configure el servidor de grupo y los miembros para SA IPsec de fase 2.
Configure el grupo
g1en el servidor de grupo.
Descripción general
En este ejemplo, se especifican los siguientes parámetros de comunicación miembro del servidor para el grupo g1:
El servidor envía mensajes de rekey de unidifusión a los miembros del grupo.
3des-cbc se utiliza para cifrar el tráfico entre el servidor y los miembros.
sha1 se utiliza para la autenticación de miembro.
Los valores predeterminados se utilizan para latidos del servidor, vida útil de KEK y retransmisiones.
Configuración
Procedimiento
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar la comunicación entre los miembros del servidor:
Establezca el tipo de comunicaciones.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Establezca el algoritmo de cifrado.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Establezca la autenticación de miembro.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server group g1 server-member-communication comando.
Ejemplo: Configuración de la comunicación de miembro del servidor VPNv1 del grupo para mensajes de clave de multidifusión
En este ejemplo, se muestra cómo habilitar el servidor para enviar mensajes de reclave de multidifusión a los miembros del grupo para garantizar que las claves válidas estén disponibles para cifrar el tráfico entre los miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Requisitos
Antes de empezar:
Configure el servidor de grupo y los miembros para la negociación de fase 1 de ICR y sa de IPsec de fase 2. Vea el ejemplo: Configurar grupo vpnv1 servidor y miembros o ejemplo: Configurar grupo VPNv1 con colocación de miembro del servidor.
Configure ge-0/0/1.0, que es la interfaz que el servidor utilizará para enviar mensajes de multidifusión. Consulte la biblioteca de protocolos de enrutamiento de Junos OS.
Configure la dirección del grupo de multidifusión 226.1.1.1. Consulte la biblioteca de protocolos de enrutamiento de Junos OS.
Los protocolos de multidifusión IP deben configurarse para permitir la entrega de tráfico de multidifusión en la red. En este ejemplo no se muestra la configuración de multidifusión.
Descripción general
En este ejemplo, se especifica la siguiente comunicación de miembro del servidor para el grupo g1:
El servidor envía mensajes de reclave de multidifusión a los miembros del grupo mediante la dirección de multidifusión 226.1.1.1 e interfaz ge-0/0/1.0.
3des-cbc se utiliza para cifrar el tráfico entre el servidor y los miembros.
sha1 se utiliza para la autenticación de miembro.
Los valores predeterminados se utilizan para latidos del servidor, vida útil de KEK y retransmisiones.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security group-vpn server group g1 server-member-communication communication-type multicast set security group-vpn server group g1 server-member-communication multicast-group 226.1.1.1 set security group-vpn server group g1 server-member-communication multicast-outgoing-interface ge-0/0/1.0 set security group-vpn server group g1 server-member-communication encryption-algorithm 3des-cbc set security group-vpn server group g1 server-member-communication sig-hash-algorithm sha1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar la comunicación de miembro del servidor para mensajes de reen clave de multidifusión:
Establezca el tipo de comunicaciones.
[edit security group-vpn server group g1 server-member-communication] user@host# set communication-type multicast
Establezca el grupo de multidifusión.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-group 226.1.1.1
Establezca la interfaz para los mensajes de multidifusión salientes.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-outgoing-interface ge-0/0/1.0
Establezca el algoritmo de cifrado.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Establezca la autenticación de miembro.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security group-vpn server group g1 server-member-communication configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show security group-vpn server group g1 server-member-communication communication-type multicast; multicast-group 226.1.1.1; multicast-outgoing-interface ge-0/0/1.0; encryption-algorithm 3des-cbc; sig-hash-algorithm sha1;
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar la comunicación de miembro del servidor para mensajes de reen clave de multidifusión
Propósito
Compruebe que los parámetros de comunicación del miembro del servidor para mensajes de reclave de multidifusión estén configurados correctamente para garantizar que las claves válidas estén disponibles para cifrar el tráfico entre los miembros del grupo.
Acción
Desde el modo operativo, ingrese el show security group-vpn server group g1 server-member-communication comando.
Ejemplo: Configuración del grupo VPNv1 con colocación para miembros del servidor
En este ejemplo, se muestra cómo configurar un dispositivo para el modo de colocación, que permite que las funciones de servidor y miembro coexistan en el mismo dispositivo físico. El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Requisitos
Antes de empezar:
Configure los dispositivos de seguridad de Juniper Networks para la comunicación de red.
Configure interfaces de red en dispositivos de servidor y miembro. Consulte Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
Cuando se configura el modo de colocación, el servidor de grupo y las funciones de miembro del grupo pueden coexistir en el mismo dispositivo. En el modo de colocación, el servidor y el miembro deben tener direcciones IP diferentes para que los paquetes se entreguen correctamente.
En Figura 3, una VPN de grupo (el identificador de grupo es 1) consta de dos miembros (member1 y member2) y un servidor de grupo (la dirección IP de la interfaz de circuito cerrado es 20.0.0.1). Tenga en cuenta que member1 coexiste en el mismo dispositivo que el servidor de grupo. En este ejemplo, a la interfaz que member1 usa para conectarse a la red MPLS (ge-0/1/0) se le asigna la dirección IP 10.1.0.1/32.
Las instrucciones de configuración de este tema describen cómo configurar el dispositivo server-member1 del grupo para el modo de colocación. Para configurar member2, consulte un ejemplo: Configurar el servidor y los miembros de VPNv1 del grupo.
Para evitar problemas de fragmentación de paquetes, se recomienda que la interfaz utilizada por el miembro del grupo para conectarse a la red MPLS se configure para un tamaño de MTU no mayor a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de MTU.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set interfaces ge-0/1/0 unit 0 family inet address 10.1.0.1/32 set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$9$c1gr K8-VYZUHX7UHqmF3Sre" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$9$c 1grK8-VYZUHX7UHqmF3Sre" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 server-member-communication communication-type unicast set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5 set security group-vpn server group grp1 server-member-communication certificate srv-cert set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0 set security group-vpn co-location set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar VPN de grupo con colocación para miembros del servidor:
Configure la dirección de circuito cerrado en el dispositivo.
[edit interfaces] user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Configure la interfaz que member1 usa para conectarse a la red MPLS.
[edit interfaces] user@host# set ge-0/1/0 unit 0 family inet address 10.1.0.1/32
Configure la colocación de VPN de grupo en el dispositivo.
[edit security group-vpn] user@host# set co-location
Configure la SA de fase 1 de ICR para el servidor (esta configuración debe coincidir con la SA de fase 1 configurada en los miembros del grupo).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina la política de ICR y establezca las puertas de enlace remotas.
[edit security group-vpn server ike] user@host# set policy srv-pol proposals srv-prop mode main pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Configure el intercambio de SA de fase 2 para el servidor.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Configure el identificador de grupo, la puerta de enlace de IKE, el tiempo de antireplay y la dirección del servidor en el servidor.
[edit security group-vpn server group grp1] user@host# set group-id 1 anti-replay-time-window 120 server-address 20.0.0.1 user@host#set ike-gateway gw1 user@host#set ike-gateway gw2
Configure el servidor para las comunicaciones de los miembros.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Configure las políticas de grupo que se descargarán a los miembros del grupo.
[edit security group-vpn server group grp1 ipsec-sa group-sa ] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Configurar SA de fase 1 para miembro1 (esta configuración debe coincidir con la SA de fase 1 configurada para el servidor de grupo).
[edit security group-vpn member ike proposal prop1] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Defina la política y establezca la puerta de enlace remota para member1.
[edit security group-vpn member ike] user@host# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Configure el identificador de grupo, la puerta de enlace de ICR y la interfaz para member1.
[edit security group-vpn member ipsec] user@host# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Cree libretas de direcciones y adjunte a zonas.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Configure una política de ámbito desde la zona de confianza hasta la zona de no confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Configure una política de alcance desde la zona de no confianza hasta la zona de confianza que permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Resultados
Desde el modo de configuración, ingrese el comando y show security policies para confirmar la show security group-vpn configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
En la lista de políticas de seguridad configuradas, asegúrese de que las políticas de ámbito se enumeran antes que las políticas predeterminadas.
[edit]
user@host# show security group-vpn
member {
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
}
server {
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
server-member-communication {
communication-type unicast;
encryption-algorithm aes-128-cbc;
sig-hash-algorithm md5;
certificate srv-cert;
}
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
}
co-location;
[edit]
user@host# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el registro de miembros de VPN del grupo
- Verificar asociaciones de seguridad de servidores VPN de grupo para IKE
- Verificar asociaciones de seguridad del servidor VPN de grupo para IPsec
- Verificar asociaciones de seguridad de miembros de VPN de grupo para IKE
- Verificar asociaciones de seguridad de miembros de VPN de grupo para IPsec
Verificar el registro de miembros de VPN del grupo
Propósito
Compruebe que los miembros vpn del grupo están registrados correctamente.
Acción
Desde el modo operativo, ingrese el show security group-vpn registered-members comando.
Verificar asociaciones de seguridad de servidores VPN de grupo para IKE
Propósito
Compruebe las SA para el servidor VPN de grupo para IKE.
Acción
Desde el modo operativo, ingrese el show security group-vpn server ike security-associations comando.
Verificar asociaciones de seguridad del servidor VPN de grupo para IPsec
Propósito
Compruebe las SA para el servidor VPN de grupo para IPsec.
Acción
Desde el modo operativo, ingrese el show security group-vpn server ipsec security-associations comando.
Verificar asociaciones de seguridad de miembros de VPN de grupo para IKE
Propósito
Compruebe las SA para los miembros de VPN de grupo para IKE.
Acción
Desde el modo operativo, ingrese el show security group-vpn member ike security-associations comando.