Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grupo VPNv2

El grupo VPNv2 introduce el concepto de un grupo de confianza para eliminar los túneles punto a punto y su enrutamiento superpuesto asociado. Todos los miembros del grupo comparten una asociación de seguridad común (SA), también conocida como SA de grupo.

Descripción general del grupo VPNv2

Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red privada virtual (VPN) que define las reglas que se deben usar para la autenticación y los algoritmos de cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con muchas implementaciones de VPN, la SA es un túnel punto a punto entre dos dispositivos de seguridad (consulte Figura 1).

Figura 1: SA punto a puntoSA punto a punto

El grupo VPNv2 extiende la arquitectura IPsec para admitir SA compartidas por un grupo de dispositivos de seguridad (consulte Figura 2). Con el VPNv2 del grupo, la conectividad de cualquier a cualquier se logra conservando las direcciones IP de origen y destino originales en el encabezado externo. El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX.

Figura 2: SA compartidasSA compartidas

El VPNv2 de grupo es una versión mejorada de la función VPN de grupo introducida en una versión anterior de Junos OS para dispositivos de la serie SRX. El VPNv2 del grupo en dispositivos juniper admite RFC 6407, El dominio de interpretación del grupo (GDOI) e interopera con otros dispositivos que cumplen con RFC 6407.

Descripción del protocolo GDOI para el grupo VPNv2

El grupo VPNv2 se basa en RFC 6407, El dominio de interpretación del grupo (GDOI). Esta RFC describe el protocolo entre los miembros del grupo y los servidores de grupo para establecer SA entre los miembros del grupo. Los mensajes GDOI crean, mantienen o eliminan SA para un grupo de dispositivos. El grupo VPNv2 se admite en instancias vSRX y en todos los dispositivos de la serie SRX, excepto para dispositivos SRX5400, SRX5600 y SRX5800.

El protocolo GDOI se ejecuta en el puerto UDP 848. El Protocolo de administración de claves y asociación de seguridad de Internet (ISAKMP) define dos fases de negociación para establecer SA para un túnel IPsec IKE. La fase 1 permite que dos dispositivos establezcan una SA ISAKMP para otros protocolos de seguridad, como GDOI.

Con el grupo VPNv2, la negociación SA ISAKMP de fase 1 se realiza entre un servidor de grupo y un miembro del grupo. El servidor y el miembro deben usar la misma política ISAKMP. Los intercambios de GDOI entre el servidor y el miembro establecen las SA que se comparten con otros miembros del grupo. Un miembro de grupo no necesita negociar IPsec con otros miembros del grupo. Los intercambios GDOI deben estar protegidos por SA de fase 1 ISAKMP.

Existen dos tipos de intercambios de GDOI:

  • El groupkey-pull intercambio permite a un miembro solicitar SA y claves compartidas por el grupo desde el servidor. Los miembros del grupo deben registrarse en un servidor de grupo mediante un groupkey-pull intercambio.

  • El groupkey-push intercambio es un único mensaje de reclave que permite al servidor enviar SA y claves de grupo a los miembros antes de que expiren las SA de grupo existentes. Los mensajes de reclave son mensajes no solicitados enviados desde el servidor a los miembros.

Descripción de los servidores y miembros de VPNv2 del grupo

El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX. El centro del grupo VPNv2 es el controlador de grupo/servidor de claves (GCKS). Se puede utilizar un clúster de servidor para proporcionar redundancia de GCKS.

El GCKS o el servidor de grupo realiza las siguientes tareas:

  • Controla la pertenencia a grupos.

  • Genera claves de cifrado.

  • Envía nuevas SA y claves de grupo a los miembros. Los miembros del grupo cifran el tráfico según las SA y las claves del grupo proporcionadas por el servidor del grupo.

Un servidor de grupo puede dar servicio a varios grupos. Un solo dispositivo de seguridad puede ser miembro de varios grupos.

Cada grupo está representado por un identificador de grupo, que es un número entre 1 y 4.294.967.295. El identificador del grupo vincula el servidor del grupo y los miembros del grupo. Solo puede haber un identificador de grupo por grupo y varios grupos no pueden usar el mismo identificador de grupo.

A continuación, se muestra una vista de alto nivel de las acciones del servidor y miembro del grupo VPNv2:

  1. El servidor de grupo escucha en el puerto UDP 848 para que los miembros se registren.

  2. Para registrarse en el servidor de grupo, el miembro primero establece una SA de IKE con el servidor. Un dispositivo miembro debe proporcionar la autenticación correcta de fase 1 de ICR para unirse al grupo. Se admite la autenticación de clave previamente compartida por miembro.

  3. Tras la autenticación y el registro exitosos, el dispositivo miembro recupera las SA y las claves del grupo para el identificador de grupo especificado del servidor con un intercambio GDOI groupkey-pull .

  4. El servidor agrega el miembro a la pertenencia del grupo.

  5. Los miembros del grupo intercambian paquetes cifrados con claves SA de grupo.

El servidor envía SA y actualizaciones de claves a los miembros del grupo con mensajes de reclave (GDOI groupkey-push). El servidor envía mensajes de reclave antes de que las SA caduquen para garantizar que las claves válidas estén disponibles para cifrar el tráfico entre miembros del grupo.

Un mensaje de reclave enviado por el servidor requiere un mensaje de reconocimiento (ack) de cada miembro del grupo. Si el servidor no recibe un mensaje ack del miembro, el mensaje de rekey se retransmite en la configuración retransmission-period (el valor predeterminado es de 10 segundos). Si no hay respuesta del miembro después de la configurada number-of-retransmission (el valor predeterminado es 2 veces), el miembro se elimina de los miembros registrados del servidor. También se elimina la SA de IKE entre el servidor y el miembro.

El servidor también envía mensajes de reclave para proporcionar claves nuevas a los miembros cuando la SA del grupo ha cambiado.

Descripción de las limitaciones de VPNv2 del grupo

Los servidores VPNv2 de grupo solo funcionan con miembros de VPNv2 del grupo que admiten RFC 6407, El dominio de interpretación del grupo (GDOI).

El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX. No se admiten los siguientes elementos en esta versión para el grupo VPNv2:

  • SNMP.

  • Niega la política del servidor VPN GET de Cisco.

  • Compatibilidad con PKI para la autenticación IKE de fase 1.

  • Colocación del servidor y miembro del grupo, donde las funciones de servidor y miembro coexisten en el mismo dispositivo físico.

  • Miembros de grupo configurados como clústeres de chasis.

  • Interfaz J-Web para configuración y monitoreo.

  • Tráfico de datos de multidifusión.

El grupo VPNv2 no se admite en implementaciones en las que no se pueden conservar direcciones IP, por ejemplo, en Internet, donde se utiliza TDR.

Descripción de la comunicación de los miembros del servidor VPNv2 del grupo

El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX. La comunicación entre miembros del servidor permite que el servidor envíe mensajes de GDOI groupkey-push (rekey) a los miembros. Si la comunicación de miembro del servidor no está configurada para el grupo, los miembros pueden enviar mensajes GDOI groupkey-pull para registrarse y volver a registrarse en el servidor, pero el servidor no puede enviar groupkey-push mensajes a los miembros.

La comunicación del miembro del servidor se configura para el grupo mediante la server-member-communication instrucción de configuración en la jerarquía [edit security group-vpn server]. Se pueden definir las siguientes opciones:

  • Algoritmo de autenticación (sha-256 o sha-384) utilizado para autenticar al miembro en el servidor. No hay ningún algoritmo predeterminado.

  • Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede especificar aes-128-cbc, aes-192-cbc o aes-256-cbc. No hay ningún algoritmo predeterminado.

  • Tipo de comunicación de unidifusión para los mensajes de reclave enviados a los miembros del grupo.

  • Duración de la clave de cifrado de claves (KEK). El valor predeterminado es de 3600 segundos.

  • Número de veces que el servidor de grupo retransmite groupkey-push mensajes a un miembro del grupo sin una respuesta (el valor predeterminado es 2 veces) y el período de tiempo entre retransmisiones (el valor predeterminado es 10 segundos).

Si la comunicación de miembro del servidor para un grupo no está configurada, la lista de pertenencia que muestra el comando muestra a los miembros del show security group-vpn server registered-members grupo que se han registrado en el servidor; los miembros pueden estar activos o no. Cuando se configura la comunicación de miembro del servidor para un grupo, se borra la lista de pertenencia del grupo. Para el tipo de comunicación de unidifusión, el show security group-vpn server registered-members comando solo muestra miembros activos.

Descripción de las operaciones clave de VPNv2 del grupo

Este tema contiene las siguientes secciones:

Claves de grupo

El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX. El servidor de grupo mantiene una base de datos para realizar un seguimiento de la relación entre grupos VPN, miembros de grupo y claves de grupo. Hay dos tipos de claves de grupo que el servidor descarga a los miembros:

  • Clave de cifrado de claves (KEK): se utiliza para cifrar los intercambios de reclave de SA (GDOI groupkey-push). Se admite una KEK por grupo.

  • Clave de cifrado de tráfico (TEK): se utiliza para cifrar y descifrar el tráfico de datos IPsec entre miembros del grupo.

La clave asociada con una SA solo la acepta un miembro del grupo si hay una política de coincidencia configurada en el miembro. Se instala una clave aceptada para el grupo, mientras que se descarta una clave rechazado.

Volver a clave de mensajes

Si el grupo está configurado para comunicaciones de miembro del servidor, el servidor envía SA y actualizaciones de claves a los miembros del grupo con mensajes de reclave (GDOI groupkey-push). Los mensajes de reclave se envían antes de que las SA expiren; esto garantiza que las claves válidas estén disponibles para cifrar el tráfico entre miembros del grupo.

El servidor también envía mensajes de reclave para proporcionar claves nuevas a los miembros cuando hay un cambio en la pertenencia al grupo o la SA del grupo ha cambiado (por ejemplo, se agrega o elimina una política de grupo).

Las opciones de comunicaciones de miembro del servidor se deben configurar en el servidor para permitir que el servidor envíe mensajes de reclame a los miembros del grupo.

El servidor de grupo envía una copia del mensaje de reclave de unidifusión a cada miembro del grupo. Tras recibir el mensaje de rekey, los miembros deben enviar una confirmación (ACK) al servidor. Si el servidor no recibe una ACK de un miembro (incluida la retransmisión de mensajes de reenclave), el servidor considera que el miembro está inactivo y lo quita de la lista de miembros. El servidor deja de enviar mensajes de reclave al miembro.

Las number-of-retransmission instrucciones de configuración y retransmission-period para las comunicaciones de miembro del servidor controlan el reenvío de mensajes de reenclave por el servidor cuando no se recibe ninguna ACK de un miembro.

El intervalo en el que el servidor envía mensajes de reclave se basa en el valor de la lifetime-seconds instrucción de configuración en la jerarquía [edit security group-vpn server group group-name]. Las claves nuevas se generan antes de la expiración de las claves KEK y TEK.

El lifetime-seconds para la KEK se configura como parte de las comunicaciones de miembro del servidor; el valor predeterminado es de 3600 segundos. El lifetime-seconds para la TEK está configurado para la propuesta de IPsec; el valor predeterminado es de 3600 segundos.

Registro de miembros

Si un miembro de grupo no recibe una nueva clave SA del servidor antes de que expire la clave actual, el miembro debe volver a registrarse con el servidor y obtener claves actualizadas con un intercambio GDOI groupkey-pull .

Descripción general de la configuración del grupo VPNv2

El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX. En este tema se describen las tareas principales para configurar el grupo VPNv2.

El controlador de grupo/servidor de claves (GCKS) administra asociaciones de seguridad (SA) VPNv2 de grupo, genera claves de cifrado y las distribuye a los miembros del grupo. Puede usar un clúster de servidor VPNv2 de grupo para proporcionar redundancia GCKS. Consulte Descripción de los clústeres de servidor VPNv2 de grupo.

En los servidores de grupo, configure lo siguiente:

  1. SA de fase 1 de ICR. Consulte Descripción de la configuración de fase 1 de ICR para grupo VPNv2 .
  2. SA de IPsec. Consulte Descripción de la configuración sa de IPsec para el grupo VPNv2.
  3. Información de grupo VPN, incluido el identificador de grupo, puertas de enlace IKE para miembros del grupo, el número máximo de miembros del grupo y las comunicaciones de miembro del servidor. La configuración de grupo incluye una política de grupo que define el tráfico al que se aplican la SA y las claves. Opcionalmente, se puede configurar el clúster del servidor y la ventana de tiempo de antireplay. Consulte Descripción general de la configuración de VPNv2 de grupo y Descripción de la dirección de tráfico VPNv2 del grupo.

En el miembro del grupo, configure lo siguiente:

  1. SA de fase 1 de ICR. Consulte Descripción de la configuración de fase 1 de ICR para grupo VPNv2 .

  2. SA de IPsec. Consulte Descripción de la configuración sa de IPsec para el grupo VPNv2.

  3. Política IPsec que define la zona entrante (normalmente una LAN protegida), la zona de salida (normalmente una WAN) y el grupo VPN al que se aplica la política. También se pueden especificar reglas de exclusión o conmutación por error. Consulte Descripción de la dirección de tráfico VPNv2 del grupo.

  4. Política de seguridad para permitir el tráfico vpn de grupo entre las zonas especificadas en la política IPsec.

La operación VPNv2 de grupo requiere una topología de enrutamiento en funcionamiento que permita que los dispositivos cliente lleguen a sus sitios previstos en toda la red.

El grupo se configura en el servidor con la group instrucción de configuración en la jerarquía [edit security group-vpn server].

La información del grupo consta de la siguiente información:

  • Identificador de grupo: un valor que identifica el grupo VPN. El mismo identificador de grupo se debe configurar en el miembro del grupo.

  • Cada miembro del grupo se configura con la ike-gateway instrucción de configuración. Puede haber varias instancias de esta instrucción de configuración, una para cada miembro del grupo.

  • Políticas de grupo: políticas que se deben descargar a los miembros. Las políticas de grupo describen el tráfico al que se aplican la SA y las claves. Consulte Descripción de la dirección de tráfico VPNv2 del grupo.

  • Umbral de miembro: número máximo de miembros del grupo. Una vez alcanzado el umbral de miembro de un grupo, un servidor deja de responder a groupkey-pull las iniciaciones de nuevos miembros. Consulte Descripción de los clústeres de servidor VPNv2 de grupo.

  • Comunicación de miembro del servidor: configuración opcional que permite al servidor enviar groupkey-push mensajes de rekey a los miembros.

  • Clúster de servidor: configuración opcional que admite redundancia de controlador de grupo/servidor de claves (GCKS). Consulte Descripción de los clústeres de servidor VPNv2 de grupo.

  • Antireplay: configuración opcional que detecta la intercepción y reproducción de paquetes. Consulte Descripción del antireplay VPNv2 del grupo.

Descripción de la configuración de fase 1 de ICR para el grupo VPNv2

Una SA de fase 1 de ICR entre un servidor de grupo y un miembro de grupo establece un canal seguro en el que negociar SA IPsec que comparten un grupo. Para VPN IPsec estándar en dispositivos de seguridad de Juniper Networks, la configuración de SA de fase 1 consiste en especificar una propuesta de ICR, una política y una puerta de enlace.

Para el grupo VPNv2, la configuración sa de fase 1 de IKE es similar a la configuración para VPN IPsec estándar, pero se realiza en las jerarquías [edit security group-vpn server ike] y [edit security group-vpn member ike]. El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX.

En la configuración de propuesta de IKE, establece el método de autenticación y los algoritmos de autenticación y cifrado que se usarán para abrir un canal seguro entre los participantes. En la configuración de política de IKE, establece el modo en el que se negociará el canal de fase 1, especifica el tipo de intercambio de claves que se va a utilizar y hace referencia a la propuesta de fase 1. En la configuración de puerta de enlace de IKE, hace referencia a la política de fase 1.

La propuesta de ICR y la configuración de política en el servidor de grupo deben coincidir con la propuesta de ICR y la configuración de política en los miembros del grupo. En un servidor de grupo, se configura una puerta de enlace IKE para cada miembro del grupo. En un miembro de grupo, se pueden especificar hasta cuatro direcciones de servidor en la configuración de puerta de enlace IKE.

Descripción de la configuración sa de IPsec para el grupo VPNv2

El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX. Después de que el servidor y el miembro hayan establecido un canal seguro y autenticado en la negociación de fase 1, proceden a establecer las SA IPsec que comparten los miembros del grupo para proteger los datos que se transmiten entre los miembros. Aunque la configuración sa de IPsec para el grupo VPNv2 es similar a la configuración para VPN estándar, un miembro del grupo no necesita negociar la SA con otros miembros del grupo.

La configuración de IPsec para el grupo VPNv2 consta de la siguiente información:

  • En el servidor de grupo, se configura una propuesta IPsec para el protocolo de seguridad, la autenticación y el algoritmo de cifrado que se usará para la SA. La propuesta de SA de IPsec se configura en el servidor de grupo con la proposal instrucción de configuración en la jerarquía [edit security group-vpn server ipsec].

  • En el miembro del grupo, se configura una IKE de clave automática que hace referencia al identificador del grupo, al servidor del grupo (configurado con la ike-gateway instrucción de configuración) y a la interfaz utilizada por el miembro para conectarse con los pares de grupo. La IKE de clave automática se configura en el miembro con la vpn instrucción de configuración en la jerarquía [edit security group-vpn member ipsec].

Descripción de la dirección de tráfico VPNv2 del grupo

El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX. El servidor de grupo distribuye las asociaciones de seguridad IPsec (SA) y las claves a los miembros de un grupo especificado. Todos los miembros que pertenecen al mismo grupo comparten el mismo conjunto de SA IPsec. La SA que se instala en un miembro de grupo específico está determinada por la política asociada con la SA del grupo y la política IPsec que está configurada en el miembro del grupo.

Directivas de grupo configuradas en servidores de grupo

En un grupo VPN, cada SA de grupo y la clave que el servidor inserta a un miembro se asocian a una política de grupo. La política de grupo describe el tráfico en el que se debe usar la clave, incluidos el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino. En el servidor, la política de grupo se configura con las match-policy policy-name opciones en el nivel de jerarquía [edit security group-vpn server group name ipsec-sa name].

Las políticas de grupo que son idénticas (configuradas con la misma dirección de origen, dirección de destino, puerto de origen, puerto de destino y valores de protocolo) no pueden existir para un solo grupo. Se devuelve un error si intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo. Si esto ocurre, debe eliminar una de las políticas de grupo idénticas antes de poder confirmar la configuración.

Políticas IPsec configuradas en miembros de grupo

En el miembro del grupo, una política IPsec consta de la siguiente información:

  • Zona entrante (from-zone) para el tráfico de grupo.

  • Zona de salida (to-zone) para el tráfico de grupo.

  • El nombre del grupo al que se aplica la política IPsec. Solo se puede hacer referencia a un nombre VPNv2 del grupo mediante un par específico de zona/zona a zona.

La interfaz que usa el miembro del grupo para conectarse a la VPNv2 del grupo debe pertenecer a la zona de salida. Esta interfaz se especifica con la group-vpn-external-interface instrucción en el nivel de jerarquía [edit security group-vpn member ipsec vpn vpn-name].

En el miembro del grupo, la política IPsec se configura en el nivel de jerarquía [edit security ipsec-policy]. El tráfico que coincide con la política IPsec se comprueba aún más contra las reglas de exclusión y conmutación por error que están configuradas para el grupo.

Cierre por error

De forma predeterminada, se bloquea el tráfico que no coincide con reglas de exclusión o conmutación por error o políticas de grupo recibidas del servidor de grupo; esto se conoce como conmutación por error.

Reglas de exclusión y fallas abiertas

En los miembros del grupo, se pueden configurar los siguientes tipos de reglas para cada grupo:

  • Tráfico que se excluye del cifrado VPN. Algunos ejemplos de este tipo de tráfico pueden incluir protocolos de enrutamiento BGP o OSPF. Para excluir tráfico de un grupo, use la set security group-vpn member ipsec vpn vpn-name exclude rule configuración. Se puede configurar un máximo de 10 reglas de exclusión.

  • El tráfico que es fundamental para la operación del cliente y debe enviarse con texto sin cifrar (sin cifrar) si el miembro del grupo no ha recibido una clave de cifrado de tráfico (TEK) válida para la SA IPsec. Las reglas de conmutación por error permiten este flujo de tráfico mientras el resto del tráfico está bloqueado. Habilite la conmutación por error con la set security group-vpn member ipsec vpn vpn-name fail-open rule configuración. Se puede configurar un máximo de 10 reglas de fallas abiertas.

Prioridades de políticas y reglas de IPsec

Las políticas y reglas de IPsec tienen las siguientes prioridades en el miembro del grupo:

  1. Excluir reglas que definen el tráfico que se va a excluir del cifrado VPN.

  2. Directivas de grupo que se descargan desde el servidor de grupo.

  3. Reglas de conmutación por error que definen el tráfico que se envía en texto sin formato si no hay una TEK válida para la SA.

  4. Política de cierre de errores que bloquea el tráfico. Este es el valor predeterminado si el tráfico no coincide con reglas o políticas de grupo de exclusión o conmutación por error.

Descripción del proceso de sondeo de recuperación VPNv2 del grupo

El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX. Dos situaciones podrían indicar que un miembro del grupo no está sincronizado con el servidor del grupo y otros miembros del grupo:

  • El miembro del grupo recibe un paquete de carga de seguridad de encapsulación (ESP) con un índice de parámetros de seguridad (SPI) no reconocido.

  • Hay tráfico IPsec saliente, pero no hay tráfico IPsec entrante en el miembro del grupo.

Cuando se detecta cualquier situación, se puede activar un proceso de sondeo de recuperación en el miembro del grupo. El proceso de sondeo de recuperación inicia intercambios de GDOI groupkey-pull a intervalos específicos para actualizar la SA del miembro desde el servidor del grupo. Si hay un ataque DoS de paquetes SPI defectuosos o si el propio remitente está fuera de sincronización, la indicación de falta de sincronización en el miembro del grupo puede ser una falsa alarma. Para evitar sobrecargar el sistema, el groupkey-pull inicio se vuelve a intentar a intervalos de 10, 20, 40, 80, 160 y 320 segundos.

El proceso de sondeo de recuperación está deshabilitado de forma predeterminada. Para habilitar el proceso de sondeo de recuperación, configure recovery-probe en el nivel de jerarquía [edit security group-vpn member ipsec vpn vpn-name].

Descripción del grupo VPNv2 Antireplay

El antireplay VPNv2 de grupo se admite en instancias vSRX y en todos los dispositivos de la serie SRX, excepto en dispositivos SRX5400, SRX5600 y SRX5800. Antireplay es una función IPsec que puede detectar cuando un paquete es interceptado y luego reproducido por los atacantes. Antireplay está deshabilitado de forma predeterminada para un grupo.

Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de hora del paquete está dentro del valor configuradoanti-replay-time-window. Se quita un paquete si la marca de hora supera el valor.

Recomendamos que el NTP se configure en todos los dispositivos compatibles con el antireplay VPNv2 del grupo.

Los miembros del grupo que se ejecutan en instancias vSRX en una máquina host en la que el hipervisor se ejecuta bajo una carga pesada pueden experimentar problemas que se pueden corregir reconfigurando el anti-replay-time-window valor. Si no se transfieren datos que coincidan con la política IPsec en el miembro del grupo, compruebe la show security group-vpn member ipsec statistics salida de errores D3P. Asegúrese de que NTP funcione correctamente. Si hay errores, ajuste el anti-replay-time-window valor.

Ejemplo: Configuración de un servidor VPNv2 de grupo y miembros

En este ejemplo, se muestra cómo configurar un servidor VPNv2 de grupo para proporcionar compatibilidad con controlador de grupo/servidor de claves (GCKS) a los miembros del grupo VPNv2. El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX.

Requisitos

En el ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo de la serie SRX o una instancia vSRX compatibles con Junos OS versión 15.1X49-D30 o posterior que admita el grupo VPNv2. Este dispositivo serie SRX o instancia vSRX funciona como un servidor VPNv2 de grupo.

  • Dos dispositivos de la serie SRX compatibles o instancias de vSRX que ejecutan Junos OS versión 15.1X49-D30 o posterior que admiten el grupo VPNv2. Estos dispositivos o instancias funcionan como miembros del grupo VPNv2.

  • Dos dispositivos de la serie MX compatibles que ejecutan Junos OS versión 15.1R2 o posterior que admiten VPNv2 del grupo. Estos dispositivos funcionan como miembros del grupo VPNv2.

Debe configurarse un nombre de host, una contraseña de administrador raíz y un acceso de administración en cada dispositivo. Recomendamos que NTP también se configure en cada dispositivo.

La operación VPNv2 de grupo requiere una topología de enrutamiento en funcionamiento que permita que los dispositivos cliente lleguen a sus sitios previstos en toda la red. En este ejemplo, se centra en la configuración de VPNv2 del grupo; la configuración de enrutamiento no se describe.

Descripción general

En este ejemplo, la red VPNv2 del grupo consta de un servidor y cuatro miembros. Dos de los miembros son dispositivos serie SRX o instancias de vSRX, mientras que los otros dos miembros son dispositivos de la serie MX. Las REDES VPN de grupo compartidos protegen el tráfico entre los miembros del grupo.

Las SA vpn de grupo deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración de VPN de grupo debe incluir la configuración de negociaciones de fase 1 de IKE tanto en el servidor del grupo como en los miembros del grupo.

El mismo identificador de grupo se debe configurar tanto en el servidor de grupo como en los miembros del grupo. En este ejemplo, el nombre del grupo es GROUP_ID-0001 y el identificador de grupo es 1. La política de grupo configurada en el servidor especifica que la SA y la clave se aplican al tráfico entre subredes en el intervalo 172.16.0.0/12.

En los miembros del grupo SRX o vSRX, se configura una política IPsec para el grupo con la zona LAN como la de la zona (tráfico entrante) y la zona WAN como la zona to-zone (tráfico saliente). También se necesita una política de seguridad para permitir el tráfico entre las zonas LAN y WAN.

Topología

Figura 3 muestra los dispositivos de Juniper Networks que se configurarán para este ejemplo.

Figura 3: Servidor VPNv2 de grupo con miembros de las series SRX o vSRX y MXServidor VPNv2 de grupo con miembros de las series SRX o vSRX y MX

Configuración

Configuración del servidor de grupo

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el servidor VPNv2 de grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure las rutas estáticas.

  3. Configure la propuesta, la política y las puertas de enlace de ICR.

  4. Configure la propuesta de IPsec.

  5. Configure el grupo.

  6. Configure comunicaciones de servidor a miembro.

  7. Configure la política de grupo que se descargará a los miembros del grupo.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-optionsy show security . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del miembro del grupo GM-0001 (dispositivo serie SRX o instancia vSRX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el miembro vpnv2 del grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure las rutas estáticas.

  3. Configure la propuesta, la política y la puerta de enlace de ICR.

  4. Configure la SA de IPsec.

  5. Configure la política IPsec.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-optionsy show security . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del miembro del grupo GM-0002 (dispositivo serie SRX o instancia vSRX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar el miembro vpnv2 del grupo:

  1. Configure interfaces, zonas de seguridad y políticas de seguridad.

  2. Configure las rutas estáticas.

  3. Configure la propuesta, la política y la puerta de enlace de ICR.

  4. Configure la SA de IPsec.

  5. Configure la política IPsec.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-optionsy show security . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del miembro del grupo GM-0003 (dispositivo de la serie MX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar el miembro vpnv2 del grupo:

  1. Configure las interfaces.

  2. Configure el enrutamiento.

  3. Configure la propuesta, la política y la puerta de enlace de ICR.

  4. Configure la SA de IPsec.

  5. Configure el filtro de servicio.

  6. Configure el conjunto de servicios.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-options, show security, show servicesy show firewall . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Configuración del miembro del grupo GM-0004 (dispositivo de la serie MX)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar el miembro vpnv2 del grupo:

  1. Configure las interfaces.

  2. Configure el enrutamiento.

  3. Configure la propuesta, la política y la puerta de enlace de ICR.

  4. Configure la SA de IPsec.

  5. Configure el filtro de servicio.

  6. Configure el conjunto de servicios.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-options, show security, show servicesy show firewall . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el registro de miembros del grupo

Propósito

Compruebe que los miembros del grupo estén registrados en el servidor.

Acción

Desde el modo operativo, ingrese los show security group-vpn server registered-members comandos y show security group-vpn server registered-members detail en el servidor.

Verificar que las claves de grupo se distribuyen

Propósito

Compruebe que las claves de grupo se distribuyen a los miembros.

Acción

Desde el modo operativo, ingrese el show security group-vpn server statistics comando en el servidor de grupo.

Verificar LAS VPN de grupo en el servidor de grupo

Propósito

Verifique las SA de VPN de grupo en el servidor de grupo.

Acción

Desde el modo operativo, ingrese los show security group-vpn server kek security-associations comandos y show security group-vpn server kek security-associations detail en el servidor de grupo.

Verificar LAS VPN de grupo en miembros de grupo

Propósito

Verifique las SA vpn de grupo en los miembros del grupo.

Acción

Desde el modo operativo, ingrese los show security group-vpn member kek security-associations comandos y show security group-vpn member kek security-associations detail en el miembro del grupo SRX o vSRX.

Desde el modo operativo, ingrese los show security group-vpn member kek security-associations comandos y show security group-vpn member kek security-associations detail en el miembro del grupo serie MX.

Verificar SA de IPsec en el servidor de grupo

Propósito

Compruebe las SA de IPsec en el servidor de grupo.

Acción

Desde el modo operativo, ingrese los show security group-vpn server ipsec security-associations comandos y show security group-vpn server ipsec security-associations detail en el servidor de grupo.

Comprobación de SA de IPsec en los miembros del grupo

Propósito

Compruebe las SA de IPsec en los miembros del grupo.

Acción

Desde el modo operativo, ingrese los show security group-vpn member ipsec security-associations comandos y show security group-vpn member ipsec security-associations detail en el miembro del grupo SRX o vSRX.

Desde el modo operativo, ingrese los show security group-vpn member ipsec security-associations comandos y show security group-vpn member ipsec security-associations detail en el miembro del grupo serie MX.

Verificar directivas de grupo (solo miembros de grupo SRX o vSRX)

Propósito

Verifique las políticas de grupo en los miembros del grupo SRX o vSRX.

Acción

Desde el modo operativo, escriba el show security group-vpn member policy comando en el miembro del grupo.

Ejemplo: Configuración de la comunicación de miembro del servidor VPNv2 del grupo para mensajes de reenclave de unidifusión

En este ejemplo, se muestra cómo permitir que el servidor envíe mensajes de reencripción de unidifusión a los miembros del grupo para garantizar que las claves válidas estén disponibles para cifrar el tráfico entre miembros del grupo. El grupo VPNv2 se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600 e instancias de vSRX.

Requisitos

Antes de comenzar:

  • Configure el servidor de grupo y los miembros para la negociación de fase 1 de IKE.

  • Configure el servidor de grupo y los miembros para SA de IPsec.

  • Configure el grupo g1 en el servidor del grupo.

Descripción general

En este ejemplo, especifique los siguientes parámetros de comunicación de miembro del servidor para el grupo g1:

  • El servidor envía mensajes de reclave de unidifusión a los miembros del grupo.

  • aes-128-cbc se utiliza para cifrar el tráfico entre el servidor y los miembros.

  • sha-256 se utiliza para la autenticación de miembro.

Los valores predeterminados se utilizan para la vida útil de KEK y las retransmisiones.

Configuración

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar la comunicación entre los miembros del servidor:

  1. Establezca el tipo de comunicación.

  2. Establezca el algoritmo de cifrado.

  3. Establezca la autenticación de miembro.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server group g1 server-member-communication comando.