Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de la configuración de VPN IPsec

Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de marcado remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos, como enrutadores, conmutadores y otros equipos de red que conforman la WAN pública. Se crea un túnel IPsec entre dos dispositivos participantes para proteger la comunicación VPN.

Descripción general de la configuración de VPN IPsec con clave automática IKE

La negociación de VPN IPsec se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la asociación de seguridad (SA) de IPsec. En la fase 2, los participantes negocian la SA de IPsec para autenticar el tráfico que fluirá a través del túnel.

En esta descripción general se describen los pasos básicos para configurar una VPN IPsec basada en rutas o políticas mediante el uso de IKE de clave automática (claves o certificados previamente compartidos).

Para configurar una VPN de IPsec basada en rutas o políticas mediante IKE de clave automática:

  1. Configure las interfaces, las zonas de seguridad y la información de la libreta de direcciones.

    (Para VPN basadas en rutas) Configure una interfaz st0.x de túnel seguro. Configure el enrutamiento en el dispositivo.

  2. Configure la fase 1 del túnel VPN IPsec.
    1. (Opcional) Configure una propuesta de fase 1 de ICR personalizada. Este paso es opcional, ya que puede usar un conjunto predefinido de propuesta de fase 1 de ICR (estándar, compatible o básico).
    2. Configure una política de ICR que haga referencia a su propuesta de fase 1 de IKE personalizada o a un conjunto predefinido de propuesta de fase 1 de IKE. Especifique la información de clave automática de IKE previamente compartida o de certificado. Especifique el modo (principal o agresivo) para los intercambios de fase 1.
    3. Configure una puerta de enlace de ICR que haga referencia a la política de IKE. Especifique los ID de ICR para los dispositivos locales y remotos. Si no se conoce la dirección IP de la puerta de enlace remota, especifique cómo se va a identificar la puerta de enlace remota.
  3. Configure la fase 2 del túnel VPN IPsec.
    1. (Opcional) Configure una propuesta de fase 2 de IPsec personalizada. Este paso es opcional, ya que puede usar un conjunto predefinido de propuesta de fase 2 de IPsec (estándar, compatible o básico).
    2. Configure una política de IPsec que haga referencia a su propuesta de fase 2 de IPsec personalizada o a un conjunto predefinido de propuesta de fase 2 de IPsec. Especifique las claves de confidencialidad directa (PFS) perfectas.
    3. Configure un túnel VPN IPsec que haga referencia tanto a la puerta de enlace de ICR como a la política de IPsec. Especifique los ID de proxy que se usarán en las negociaciones de fase 2.

      (Para VPN basadas en rutas) Vincule la interfaz de túnel seguro st0.x al túnel VPN IPsec.

  4. Configure una política de seguridad para permitir el tráfico desde la zona de origen a la zona de destino.

    (Para VPN basadas en políticas) Especifique la acción tunnel ipsec-vpn de política de seguridad con el nombre del túnel VPN IPsec que configuró.

  5. Actualice su configuración global de VPN.

Descripción de VPN IPsec con puntos de conexión dinámicos

Descripción general

Un par VPN IPsec puede tener una dirección IP que no sea conocida por el par con el que está estableciendo la conexión VPN. Por ejemplo, un par puede tener una dirección IP asignada dinámicamente mediante el Protocolo de configuración dinámica de host (DHCP). Este podría ser el caso de un cliente de acceso remoto en una sucursal u oficina en casa o un dispositivo móvil que se mueve entre diferentes ubicaciones físicas. O bien, el par se puede ubicar detrás de un dispositivo TDR que traduce la dirección IP de origen original del par en una dirección diferente. Un par VPN con una dirección IP desconocida se conoce como un punto de conexión dinámico y una VPN establecida con un punto de conexión dinámico se denomina VPN de punto de conexión dinámico.

En los firewalls serie SRX, IKEv1 o IKEv2 se admiten con VPN de punto de conexión dinámico. Las VPN de punto de conexión dinámico en firewalls serie SRX admiten tráfico IPv4 en túneles seguros. A partir de Junos OS versión 15.1X49-D80, las VPN de punto de conexión dinámico en los firewalls serie SRX admiten tráfico IPv6 en túneles seguros.

El tráfico IPv6 no es compatible con redes AutoVPN.

En las siguientes secciones se describen los elementos que se deben tener en cuenta al configurar una VPN con un punto de conexión dinámico.

Identidad de ICR

En el punto de conexión dinámico, se debe configurar una identidad de ICR para que el dispositivo se identifique a sí mismo con su par. La identidad local del punto de conexión dinámico se verifica en el par. De forma predeterminada, el firewall de la serie SRX espera que la identidad de IKE sea una de las siguientes:

  • Cuando se utilizan certificados, se puede usar un nombre distinguido (DN) para identificar a los usuarios o a una organización.

  • Nombre de host o nombre de dominio completo (FQDN) que identifica el punto de conexión.

  • Un nombre de dominio completo de usuario (UFQDN), también conocido como user-at-hostname. Esta es una cadena que sigue el formato de dirección de correo electrónico.

Modo agresivo para la política IKEv1

Cuando se utiliza IKEv1 con VPN de punto de conexión dinámico, la política de IKE debe configurarse para el modo agresivo.

Políticas de ICR e interfaces externas

A partir de Junos OS versión 12.3X48-D40, Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, todas las puertas de enlace de puntos de conexión dinámicos configuradas en firewalls serie SRX que usan la misma interfaz externa pueden usar diferentes políticas de IKE, pero las políticas de IKE deben usar la misma propuesta de IKE. Esto se aplica a IKEv1 e IKEv2.

Traducción de dirección de red (NAT)

Si el punto de conexión dinámico se encuentra detrás de un dispositivo TDR, TDR-T debe configurarse en el firewall de la serie SRX. Es posible que se requieran elementos de mantenimiento TDR para mantener la traducción de TDR durante la conexión entre los pares de VPN. De forma predeterminada, TDR-T está habilitado en firewalls de la serie SRX y las conservaciones TDR se envían a intervalos de 20 segundos.

Identificaciones de ICR de grupo y compartidas

Puede configurar un túnel VPN individual para cada punto de conexión dinámico. Para VPN de punto de conexión dinámico IPv4, puede usar el ID de IKE de grupo o las características de ID de IKE compartido para permitir que varios puntos de conexión dinámicos compartan una configuración de puerta de enlace de IKE.

El ID de IKE de grupo le permite definir una parte común de un ID de IKE completo para todos los puntos de conexión dinámicos, como "example.net". Una parte específica del usuario, como el nombre de usuario "Bob", concatenado con la parte común forma un ID de IKE completo (Bob.example.net) que identifica de manera única a cada conexión de usuario.

El ID de ICR compartido permite que los puntos de conexión dinámicos compartan un único ID de IKE y una clave precompartida.

Descripción de la configuración de identidad de ICR

La identificación de IKE (ID de IKE) se utiliza para la validación de dispositivos par VPN durante la negociación de IKE. El ID de IKE que recibe el firewall de la serie SRX desde un par remoto puede ser una dirección IPv4 o IPv6, un nombre de host, un nombre de dominio completo (FQDN), un FQDN de usuario (UFQDN) o un nombre distinguido (DN). El ID de ICR enviado por el par remoto debe coincidir con lo que se espera del firewall serie SRX. De lo contrario, se produce un error en la validación del ID de ICR y no se establece la VPN.

Tipos de ID de ICR

Los firewalls de la serie SRX admiten los siguientes tipos de identidades IKE para pares remotos:

  • Una dirección IPv4 o IPv6 se utiliza comúnmente con VPN de sitio a sitio, en las que el par remoto tiene una dirección IP estática.

  • Un nombre de host es una cadena que identifica el sistema par remoto. Esto puede ser un FQDN que se resuelve en una dirección IP. También puede ser un FQDN parcial que se usa junto con un tipo de usuario IKE para identificar a un usuario remoto específico.

    Cuando se configura un nombre de host en lugar de una dirección IP, la configuración confirmada y el posterior establecimiento de túnel se basan en la dirección IP resuelta actualmente. Si la dirección IP del par remoto cambia, la configuración ya no es válida.

  • Una UFQDN es una cadena que sigue el mismo formato que una dirección de correo electrónico, como user@example.com.

  • Un DN es un nombre que se utiliza con certificados digitales para identificar de forma exclusiva a un usuario. Por ejemplo, un DN puede ser "CN=user, DC=example, DC=com". Opcionalmente, puede usar la container palabra clave para especificar que el orden de los campos de un DN y sus valores coincidan exactamente con el DN configurado, o usar la wildcard palabra clave para especificar que los valores de los campos en un DN deben coincidir, pero el orden de los campos no importa.

    A partir de Junos OS versión 19.4R1, ahora puede configurar solo un atributo DN dinámico entre container-string y wildcard-string en [edit security ike gateway gateway_name dynamic distinguished-name] la jerarquía. Si intenta configurar el segundo atributo después de configurar el primer atributo, el primer atributo se sustituye por el segundo atributo. Antes de actualizar el dispositivo, debe quitar uno de los atributos si ha configurado ambos atributos.

  • Un tipo de usuario IKE se puede usar con AutoVPN y VPN de acceso remoto cuando hay varios pares remotos que se conectan a la misma puerta de enlace VPN en el firewall de la serie SRX. Configure ike-user-type group-ike-id para especificar un ID de IKE de grupo o ike-user-type shared-ike-id para especificar un ID de IKE compartido.

IDs de ICR remotos y VPN de sitio a sitio

Para VPN de sitio a sitio, el ID de IKE del par remoto puede ser la dirección IP de la tarjeta de interfaz de red de salida, una dirección de circuito cerrado, un nombre de host o un ID de IKE configurado manualmente, según la configuración del dispositivo par.

De forma predeterminada, los firewalls de la serie SRX esperan que el ID de IKE del par remoto sea la dirección IP configurada con la set security ike gateway gateway-name address configuración. Si el ID de IKE del par remoto es un valor diferente, debe configurar la instrucción en el remote-identity nivel de jerarquía [edit security ike gateway gateway-name].

Por ejemplo, una puerta de enlace IKE en los firewalls serie SRX se configura con el set security ike gateway remote-gateway address 203.0.113.1 comando. Sin embargo, el ID de ICR enviado por el par remoto es host.example.net. Hay una discordancia entre lo que el firewall de la serie SRX espera para el ID de IKE del par remoto (203.0.113.1) y el ID de IKE real quehost.example.net envía el par. En este caso, se produce un error en la validación del ID de IKE. Utilice el set security ike gateway remote-gateway remote-identity hostname host.example.net para que coincida con el ID de ICR recibido del par remoto.

IDs de ICR remotos y VPN de punto de conexión dinámico

Para VPN de punto de conexión dinámicos, el ID de IKE esperado del par remoto se configura con las opciones en el nivel de jerarquía [edit security ike gateway gateway-name dynamic]. Para AutoVPN, hostname en combinación con ike-user-type group-ike-id se puede usar cuando hay varios pares que tienen un nombre de dominio común. Si se utilizan certificados para comprobar el par, se puede configurar un DN.

ID de ICR local del firewall de la serie SRX

De forma predeterminada, el firewall de la serie SRX usa la dirección IP de su interfaz externa al par remoto como su ID de IKE. Este ID de ICR se puede anular configurando la local-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name]. Si necesita configurar la local-identity instrucción en un firewall serie SRX, asegúrese de que el ID de IKE configurado coincide con el ID de IKE esperado por el par remoto.

Configuración de ICR remotos para VPN de sitio a sitio

De forma predeterminada, los firewalls serie SRX validan el ID de IKE recibido del par con la dirección IP configurada para la puerta de enlace de IKE. En ciertas configuraciones de red, el ID de IKE recibido del par (que puede ser una dirección IPv4 o IPv6, nombre de dominio completo [FQDN], nombre distinguido o dirección de correo electrónico) no coincide con la puerta de enlace de IKE configurada en el firewall de la serie SRX. Esto puede dar lugar a un error de validación de fase 1.

Para modificar la configuración del firewall de la serie SRX o del dispositivo par para el ID de IKE que se utiliza:

  • En el firewall serie SRX, configure la remote-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name] para que coincida con el ID de IKE que se recibe del par. Los valores pueden ser una dirección IPv4 o IPv6, FQDN, nombre distinguido o dirección de correo electrónico.

    Si no configura remote-identity, el dispositivo usa la dirección IPv4 o IPv6 que corresponde al par remoto de forma predeterminada.

  • En el dispositivo par, asegúrese de que el ID de IKE sea el mismo que el remote-identity configurado en el firewall serie SRX. Si el dispositivo par es un firewall serie SRX, configure la local-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name]. Los valores pueden ser una dirección IPv4 o IPv6, FQDN, nombre distinguido o dirección de correo electrónico.

Descripción de la autenticación de OSPF y OSPFv3 en firewalls serie SRX

OSPFv3 no tiene un método de autenticación integrado y depende del conjunto de seguridad IP (IPsec) para proporcionar esta funcionalidad. IPsec proporciona autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no rechazo de origen. Puede usar IPsec para proteger interfaces y vínculos virtuales OSPFv3 específicos, y para proporcionar cifrado para paquetes OSPF.

OSPFv3 usa el encabezado de autenticación IP (AH) y las partes de la carga de seguridad de encapsulación (ESP) de IP del protocolo IPsec para autenticar la información de enrutamiento entre pares. AH puede proporcionar integridad sin conexión y autenticación de origen de datos. También proporciona protección contra las repeticiones. AH autentica tanto del encabezado IP como sea posible, así como los datos del protocolo de nivel superior. Sin embargo, algunos campos de encabezado IP pueden cambiar en tránsito. Dado que el remitente puede que el valor de estos campos no sea predecible, no puede estar protegidos por AH. ESP puede proporcionar cifrado y confidencialidad de flujo de tráfico limitado o integridad sin conexión, autenticación de origen de datos y un servicio anti-reproducción.

IPsec se basa en asociaciones de seguridad (SA). Una SA es un conjunto de especificaciones de IPsec que se negocian entre dispositivos que establecen una relación IPsec. Esta conexión simplex proporciona servicios de seguridad a los paquetes transportados por la SA. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado y protocolo IPsec que se utilizará al establecer la conexión IPsec. Una SA se utiliza para cifrar y autenticar un flujo determinado en una dirección. Por lo tanto, en el tráfico bidireccional normal, los flujos están protegidos por un par de SA. Una SA que se utilizará con OSPFv3 se debe configurar manualmente y usar el modo de transporte. Los valores estáticos se deben configurar en ambos extremos de la SA.

Para configurar IPsec para OSPF u OSPFv3, primero defina una SA manual con la security-association sa-name opción en el nivel de jerarquía [edit security ipsec]. Esta función solo admite SA de clave manual bidireccional en modo de transporte. Las SA manuales no requieren negociación entre los pares. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores, los algoritmos y las claves del índice de parámetros de seguridad (SPI), y requieren configuraciones coincidentes en ambos puntos de conexión (pares OSPF u OSPFv3). Como resultado, cada par debe tener las mismas opciones configuradas para que se produzca la comunicación.

La elección real de los algoritmos de cifrado y autenticación se deja en su administrador de IPsec; sin embargo, tenemos las siguientes recomendaciones:

  • Use ESP con cifrado nulo para proporcionar autenticación a los encabezados de protocolo, pero no al encabezado IPv6, los encabezados de extensión y las opciones. Con el cifrado nulo, está eligiendo no proporcionar cifrado en los encabezados de protocolo. Esto puede ser útil para la resolución de problemas y la depuración. Para obtener más información acerca del cifrado null, consulte RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec.

  • Utilice ESP con DES o 3DES para obtener una confidencialidad total.

  • Utilice AH para proporcionar autenticación a encabezados de protocolo, campos inmutables en encabezados IPv6 y encabezados y opciones de extensión.

La SA configurada se aplica a las configuraciones OSPF u OSPFv3 de la siguiente manera:

  • Para una interfaz OSPF u OSPFv3, incluya la ipsec-sa name instrucción en el nivel de jerarquía [edit protocols ospf area area-id interface interface-name] o [edit protocols ospf3 area area-id interface interface-name]. Solo se puede especificar un nombre SA IPsec para una interfaz OSPF u OSPFv3; sin embargo, diferentes interfaces OSPF/OSPFv3 pueden especificar la misma SA IPsec.

  • Para un vínculo virtual OSPF u OSPFv3, incluya la ipsec-sa name instrucción en el nivel de jerarquía [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] o [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id]. Debe configurar la misma SA de IPsec para todos los vínculos virtuales con la misma dirección de punto de conexión remoto.

Se aplican las siguientes restricciones a la autenticación IPsec para OSPF u OSPFv3 en firewalls serie SRX:

  • Las configuraciones manuales de VPN que se configuran en el nivel jerárquico de [edit security ipsec vpn vpn-name manual] no se pueden aplicar a interfaces OSPF u OSPFv3 o vínculos virtuales para proporcionar autenticación y confidencialidad IPsec.

  • No puede configurar IPsec para autenticación OSPF u OSPFv3 si hay una VPN IPsec existente configurada en el dispositivo con las mismas direcciones locales y remotas.

  • IPsec para autenticación OSPF u OSPFv3 no se admite a través de interfaces st0 de túnel seguro.

  • No se admite la reenclave de claves manuales.

  • No se admiten sas de intercambio dinámico de claves por internet (IKE).

  • Solo se admite el modo de transporte IPsec. En el modo de transporte, solo la carga (los datos que transfiere) del paquete IP se cifra, se autentica o ambos. No se admite el modo de túnel.

  • Dado que solo se admiten SA manuales bidireccionales, todos los pares de OSPFv3 deben configurarse con la misma SA IPsec. Configure una SA bidireccional manual en el nivel de jerarquía [edit security ipsec].

  • Debe configurar la misma SA de IPsec para todos los vínculos virtuales con la misma dirección de punto de conexión remoto.

Ejemplo: Configuración de la autenticación IPsec para una interfaz OSPF en un firewall de la serie SRX

En este ejemplo, se muestra cómo configurar y aplicar una asociación de seguridad manual (SA) a una interfaz OSPF.

Requisitos

Antes de empezar:

  • Configure las interfaces del dispositivo.

  • Configure los identificadores de enrutador para los dispositivos de su red OSPF.

  • Elección designada de enrutador de control OSPF.

  • Configure una red OSPF de área única.

  • Configure una red OSPF de varias áreas.

Descripción general

Puede usar la autenticación IPsec tanto para OSPF como para OSPFv3. Puede configurar la SA manual por separado y aplicarla a la configuración OSPF correspondiente. Tabla 3 enumera los parámetros y valores configurados para la SA manual en este ejemplo.

Tabla 3: SA manual para autenticación de interfaz OSPF IPsec

Parámetro

valor

Nombre de SA

sa1

Modo

Transporte

Dirección

Bidireccional

Protocolo

AH

SPI

256

Algoritmo de autenticación

Clave

hmac-md5-96

(ASCII) 123456789012abc

Algoritmo de cifrado

Clave

Des

(ASCII) cba210987654321

Configuración

Configuración de una SA manual

Configuración rápida de CLI

Para configurar rápidamente una SA manual que se utilizará para la autenticación IPsec en una interfaz OSPF, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una SA manual:

  1. Especifique un nombre para la SA.

  2. Especifique el modo de la SA manual.

  3. Configure la dirección de la SA manual.

  4. Configure el protocolo IPsec para su uso.

  5. Configure el valor del SPI.

  6. Configure el algoritmo y la clave de autenticación.

  7. Configure el algoritmo y la clave de cifrado.

Resultados

Para confirmar la configuración, ingrese el show security ipsec comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra la forma cifrada de la contraseña que configuró.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Habilitación de la autenticación IPsec para una interfaz OSPF

Configuración rápida de CLI

Para aplicar rápidamente una SA manual utilizada para la autenticación de IPsec a una interfaz OSPF, copie el siguiente comando, péguelo en un archivo de texto, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue el comando en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

Para habilitar la autenticación IPsec para una interfaz OSPF:

  1. Cree un área OSPF.

    Para especificar OSPFv3, incluya la ospf3 instrucción en el [edit protocols] nivel de jerarquía.

  2. Especifique la interfaz.

  3. Aplique la SA manual IPsec.

Resultados

Para confirmar la configuración, ingrese el show ospf interface detail comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Para confirmar la configuración de OSPFv3, ingrese el show protocols ospf3 comando.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar la configuración de la asociación de seguridad de IPsec

Propósito

Compruebe la configuración de asociación de seguridad IPsec configurada. Compruebe la siguiente información:

  • El campo Asociación de seguridad muestra el nombre de la asociación de seguridad configurada.

  • El campo SPI muestra el valor que configuró.

  • El campo Modo muestra el modo de transporte.

  • El campo Tipo muestra el manual como el tipo de asociación de seguridad.

Acción

Desde el modo operativo, ingrese el show ospf interface detail comando.

Verificar la asociación de seguridad IPsec en la interfaz OSPF

Propósito

Compruebe que la asociación de seguridad IPsec que configuró se aplicó a la interfaz OSPF. Confirme que el campo nombre de SA IPsec muestra el nombre de la asociación de seguridad IPsec configurada.

Acción

Desde el modo operativo, ingrese el show ospf interface detail comando para OSPF y escriba el show ospf3 interface detail comando para OSPFv3.

Configuración de VPN IPsec mediante el Asistente para VPN

El Asistente de VPN le permite realizar la configuración básica de VPN de IPsec, incluidas las fases 1 y 2. Para una configuración más avanzada, utilice la interfaz J-Web o la CLI. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Para configurar VPN de IPsec mediante el Asistente para VPN:

  1. Seleccione Configure>Device Setup>VPN en la interfaz J-Web.
  2. Haga clic en el botón Launch VPN Wizard.
  3. Siga las indicaciones del asistente.

El área superior izquierda de la página del asistente muestra dónde se encuentra en el proceso de configuración. El área inferior izquierda de la página muestra ayuda sensible a los campos. Cuando haga clic en un vínculo bajo el encabezado Recursos, el documento se abrirá en su navegador. Si el documento se abre en una pestaña nueva, asegúrese de cerrar solo la pestaña (no la ventana del navegador) cuando cierre el documento.

Ejemplo: Configuración de una VPN radial

En este ejemplo, se muestra cómo configurar una VPN IPsec radial para una implementación de clase empresarial. Para VPN IPSec de sitio a sitio con IKEv1 y IKEv2, consulte VPN IPsec basada en rutas con IKEv1 y VPN IPsec basada en rutas con IKEv1 respectivamente.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Dispositivo SRX240

  • Dispositivo SRX5800

  • Dispositivo SSG140

Antes de empezar, lea Descripción general de IPsec.

Descripción general

En este ejemplo, se describe cómo configurar una VPN concentrador y radial que se encuentra normalmente en las implementaciones en sucursales. El centro es la oficina corporativa, y hay dos radios: una sucursal en Sunnyvale, California, y una sucursal en Westford, Massachusetts. Los usuarios de las sucursales usarán la VPN para transferir datos de forma segura con la oficina corporativa.

Figura 1 muestra un ejemplo de una topología VPN concentrador y radial. En esta topología, un dispositivo SRX5800 se encuentra en la oficina corporativa. Un firewall serie SRX se encuentra en la sucursal de Westford, y un dispositivo SSG140 se encuentra en la sucursal de Sunnyvale.

Figura 1: Topología vpn radialTopología vpn radial

En este ejemplo, se configura el centro de oficinas corporativas, westford habló y Sunnyvale habló. Primero se configuran interfaces, rutas estáticas y predeterminadas IPv4, zonas de seguridad y libretas de direcciones. Luego, configure los parámetros de fase 1 e IPsec fase 2 de IIKE, y enlazar la interfaz st0.0 a la VPN IPsec. En el hub, configure st0.0 para varios puntos y agregue una entrada de tabla NHTB estática para el radio Sunnyvale. Por último, puede configurar la política de seguridad y los parámetros TCP-MSS. Consulte Tabla 4 a través Tabla 8 para ver los parámetros de configuración específicos utilizados en este ejemplo.

Tabla 4: Información de interfaz, zona de seguridad y libreta de direcciones

Concentrador o radio

Característica

Nombre

Parámetros de configuración

Hub

Interfaces

ge-0/0/0.0

192.168.10.1/24

   

ge-0/0/3.0

10.1.1.2/30

   

st0

10.11.11.10/24

Habló

Interfaces

ge-0/0/0.0

10.3.3.2/30

   

ge-0/0/3.0

192.168.178.1/24

   

st0

10.11.11.12/24

Hub

Zonas de seguridad

confianza

  • Se permiten todos los servicios del sistema.

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

   

Untrust

  • IKE es el único servicio de sistema permitido.

  • La interfaz ge-0/0/3.0 está vinculada a esta zona.

   

Vpn

La interfaz st0.0 está vinculada a esta zona.

Habló

Zonas de seguridad

confianza

  • Se permiten todos los servicios del sistema.

  • La interfaz ge-0/0/3.0 está vinculada a esta zona.

   

Untrust

  • IKE es el único servicio de sistema permitido.

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

   

Vpn

La interfaz st0.0 está vinculada a esta zona.

Hub

Entradas de la libreta de direcciones

red local

  • Esta dirección es para la libreta de direcciones de la zona de confianza.

  • La dirección para esta entrada de la libreta de direcciones es 192.168.10.0/24.

   

sunnyvale-net

  • Esta libreta de direcciones es para la libreta de direcciones de la zona VPN.

  • La dirección para esta entrada del libro de direcciones es 192.168.168.0/24.

   

westford-net

  • Esta dirección es para la libreta de direcciones de la zona VPN.

  • La dirección para esta entrada de la libreta de direcciones es 192.168.178.0/24.

Habló

Entradas de la libreta de direcciones

red local

  • Esta dirección es para la libreta de direcciones de la zona de confianza.

  • La dirección para esta entrada de la libreta de direcciones es 192.168.168.178.0/24.

   

corp-net

  • Esta dirección es para la libreta de direcciones de la zona VPN.

  • La dirección para esta entrada de la libreta de direcciones es 192.168.10.0/24.

   

sunnyvale-net

  • Esta dirección es para la libreta de direcciones de la zona VPN.

  • La dirección para esta entrada del libro de direcciones es 192.168.168.0/24.

Tabla 5: Parámetros de configuración de fase 1 de ICR

Concentrador o radio

Característica

Nombre

Parámetros de configuración

Hub

Propuesta

propuesta de fase ike1

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: grupo2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: aes-128-cbc

 

Política

Política de ike-phase1

  • Modo: Principal

  • Referencia de la propuesta: propuesta de fase ike1

  • Método de autenticación de política de fase 1 de ICR: texto ASCII de clave precompartida

 

Gateway

gw-westford

  • Referencia de política de ICR: Política de ike-phase1

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.3.3.2

   

gw-sunnyvale

  • Referencia de política de ICR: Política de ike-phase1

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.2.2.2

Habló

Propuesta

propuesta de fase ike1

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: grupo2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: aes-128-cbc

 

Política

Política de ike-phase1

  • Modo: Principal

  • Referencia de la propuesta: propuesta de fase ike1

  • Método de autenticación de política de fase 1 de ICR: texto ASCII de clave precompartida

 

Gateway

gw-corporate

  • Referencia de política de ICR: Política de ike-phase1

  • Interfaz externa: ge-0/0/0.0

  • Dirección de puerta de enlace: 10.1.1.2

Tabla 6: Parámetros de configuración de fase 2 de IPsec

Concentrador o radio

Característica

Nombre

Parámetros de configuración

Hub

Propuesta

ipsec-phase2-proposal

  • Protocolo: Esp

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: aes-128-cbc

 

Política

ipsec-phase2-policy

  • Referencia de la propuesta: ipsec-phase2-proposal

  • PFS: Grupo Diffie-Hellman2

 

VPN

vpn-sunnyvale

  • Referencia de puerta de enlace de ICR: gw-sunnyvale

  • Referencia de política IPsec: ipsec-phase2-policy

  • Enlazar a interfaz: st0.0

   

vpn-westford

  • Referencia de puerta de enlace de ICR: gw-westford

  • Referencia de política IPsec: ipsec-phase2-policy

  • Enlazar a interfaz: st0.0

Habló

Propuesta

ipsec-phase2-proposal

  • Protocolo: Esp

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: aes-128-cbc

 

Política

ipsec-phase2-policy

  • Referencia de la propuesta: ipsec-phase2-proposal

  • PFS: Grupo Diffie-Hellman2

 

VPN

vpn corporativa

  • Referencia de puerta de enlace de ICR: gw-corporate

  • Referencia de política IPsec: ipsec-phase2-policy

  • Enlazar a interfaz: st0.0

Tabla 7: Parámetros de configuración de la política de seguridad

Concentrador o radio

Propósito

Nombre

Parámetros de configuración

Hub

La política de seguridad permite el tráfico desde la zona de confianza a la zona VPN.

locales a radios

  • Criterios de coincidencia:

    • red local de dirección de origen

    • dirección de destino sunnyvale-net

    • dirección de destino westford-net

    • aplicación cualquiera

 

La política de seguridad permite el tráfico desde la zona VPN a la zona de confianza.

radios a lo local

Criterios de coincidencia:

  • dirección fuente sunnyvale-net

  • dirección fuente westford-net

  • red local de dirección de destino

  • aplicación cualquiera

 

La política de seguridad permite el tráfico intrazona.

de radio a radio

Criterios de coincidencia:

  • dirección de origen

  • dirección de destino

  • aplicación cualquiera

Habló

La política de seguridad permite el tráfico desde la zona de confianza a la zona VPN.

a la corporación

  • Criterios de coincidencia:

    • red local de dirección de origen

    • dirección de destino corp-net

    • dirección de destino sunnyvale-net

    • aplicación cualquiera

 

La política de seguridad permite el tráfico desde la zona VPN a la zona de confianza.

de la empresa

Criterios de coincidencia:

  • corp-net de dirección fuente

  • dirección fuente sunnyvale-net

  • red local de dirección de destino

  • aplicación cualquiera

 

La política de seguridad permite el tráfico desde la zona de no confianza a la zona de confianza.

permitir-cualquier

Criterios de coincidencia:

  • dirección de origen

  • origen-destino cualquiera

  • aplicación cualquiera

  • Permitir acción: interfaz source-nat

    Al especificar source-nat interface, el firewall de la serie SRX traduce la dirección IP de origen y el puerto para el tráfico de salida, utilizando la dirección IP de la interfaz de salida como dirección IP de origen y un puerto de número alto aleatorio para el puerto de origen.

Tabla 8: Parámetros de configuración TCP-MSS

Propósito

Parámetros de configuración

TCC-MSS se negocia como parte del protocolo de enlace de tres vías TCP y limita el tamaño máximo de un segmento TCP para adaptarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que causa fragmentación. La fragmentación da como resultado un mayor uso del ancho de banda y los recursos del dispositivo.

El valor de 1350 es un punto de partida recomendado para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con diferentes valores TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que deba cambiar el valor si algún dispositivo de la ruta tiene una MTU menor o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor de MSS: 1350

Configuración

Configuración de la información básica de red, zona de seguridad y libreta de direcciones para el hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la información básica de red, zona de seguridad y libreta de direcciones para el hub:

  1. Configure la información de interfaz Ethernet.

  2. Configure la información de ruta estática.

  3. Configure la zona de seguridad de no confianza.

  4. Asigne una interfaz a la zona de seguridad de no confianza.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad de confianza.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

  9. Cree una libreta de direcciones y adjunte una zona.

  10. Configure la zona de seguridad VPN.

  11. Asigne una interfaz a la zona de seguridad VPN.

  12. Cree otra libreta de direcciones y adjunte una zona.

Resultados

Desde el modo de configuración, ingrese los comandos , show routing-options, show security zonesy show security address-book para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de ICR para el hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar IKE para el hub:

  1. Cree la propuesta de fase 1 de ICR.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Defina el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de propuesta de ICR.

  6. Cree una política de fase 1 de ICR.

  7. Establezca el modo de política de fase 1 de ICR.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de política de fase 1 de ICR.

  10. Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.

  11. Defina la referencia de política de fase 1 de ICR.

  12. Defina la dirección de puerta de enlace de fase 1 de ICR.

  13. Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.

  14. Defina la referencia de política de fase 1 de ICR.

  15. Defina la dirección de puerta de enlace de fase 1 de ICR.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de IPsec para el Hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar IPsec para el concentrador:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Cree la política de fase 2 de IPsec.

  6. Especifique la referencia de la propuesta de fase 2 de IPsec.

  7. Especifique PFS de fase 2 de IPsec para usar el grupo Diffie-Hellman 2.

  8. Especifique las puertas de enlace de ICR.

  9. Especifique las políticas de fase 2 de IPsec.

  10. Especifique la interfaz que se desea enlazar.

  11. Configure la interfaz st0 como multipunto.

  12. Agregue entradas estáticas de tabla NHTB para las oficinas de Sunnyvale y Westford.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de políticas de seguridad para el hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar políticas de seguridad para el hub:

  1. Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.

  2. Cree la política de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.

  3. Cree la política de seguridad para permitir el tráfico intrazona.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de TCP-MSS para el Hub

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar la información de TCP-MSS para el hub:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de la información básica de red, zona de seguridad y libreta de direcciones para westford spoke

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la información básica de red, zona de seguridad y libreta de direcciones para el Westford habló:

  1. Configure la información de interfaz Ethernet.

  2. Configure la información de ruta estática.

  3. Configure la zona de seguridad de no confianza.

  4. Asigne una interfaz a la zona de seguridad.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad de confianza.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

  9. Configure la zona de seguridad VPN.

  10. Asigne una interfaz a la zona de seguridad VPN.

  11. Cree una libreta de direcciones y adjunte una zona.

  12. Cree otra libreta de direcciones y adjunte una zona.

Resultados

Desde el modo de configuración, ingrese los comandos , show routing-options, show security zonesy show security address-book para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de ICR para Westford Spoke

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar IKE para Westford habló:

  1. Cree la propuesta de fase 1 de ICR.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Defina el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de propuesta de ICR.

  6. Cree una política de fase 1 de ICR.

  7. Establezca el modo de política de fase 1 de ICR.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de política de fase 1 de ICR.

  10. Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.

  11. Defina la referencia de política de fase 1 de ICR.

  12. Defina la dirección de puerta de enlace de fase 1 de ICR.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de IPsec para Westford Spoke

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar IPsec para Westford habló:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Cree la política de fase 2 de IPsec.

  6. Especifique la referencia de la propuesta de fase 2 de IPsec.

  7. Especifique PFS de fase 2 de IPsec para usar el grupo Diffie-Hellman 2.

  8. Especifique la puerta de enlace de ICR.

  9. Especifique la política de fase 2 de IPsec.

  10. Especifique la interfaz que se desea enlazar.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de políticas de seguridad para Westford Spoke

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar las políticas de seguridad para Westford habló:

  1. Cree la política de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.

  2. Cree la política de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de TCP-MSS para Westford Spoke

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar TCP-MSS para Westford habló:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del Sunnyvale Spoke

Configuración rápida de CLI

En este ejemplo, se utiliza un dispositivo de la serie SSG para el radio Sunnyvale. Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más información acerca de cómo configurar dispositivos de la serie SSG, consulte , Concepts and Examples ScreenOS Reference Guideque se encuentra en https://www.juniper.net/documentation.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el estado de fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR.

Acción

Antes de comenzar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a un host en las redes 192.168.168/24 y 192.168.178/24 para activar los túneles. En el caso de VPN basadas en rutas, puede enviar tráfico iniciado desde el firewall serie SRX a través del túnel. Recomendamos que cuando pruebe los túneles IPsec, envíe tráfico de prueba desde un dispositivo independiente en un lado de la VPN a un segundo dispositivo al otro lado de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.

Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si se enumeran las SA, revise la siguiente información:

  • Índice: este valor es único para cada SA IKE, que puede utilizar en el show security ike security-associations index detail comando para obtener más información sobre la SA.

  • Dirección remota: compruebe que la dirección IP remota sea correcta.

  • Estado

    • UP: se estableció la SA de fase 1.

    • ABAJO: hubo un problema al establecer la SA de fase 1.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que la siguiente información es correcta en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)

  • Parámetros de política de ICR

  • Información de claves previamente compartidas

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El show security ike security-associations index 1 detail comando enumera información adicional acerca de la asociación de seguridad con un número de índice de 1:

  • Algoritmos de autenticación y cifrado utilizados

  • Vida útil de la fase 1

  • Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de rol de iniciador y de respuesta

    La solución de problemas se realiza mejor en el par que usa la función de responder.

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Verificar el estado de fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.

Significado

El resultado del show security ipsec security-associations comando enumera la siguiente información:

  • El número de identificación es 16385. Use este valor con el show security ipsec security-associations index comando para obtener más información sobre esta SA en particular.

  • Hay un par DE SA IPsec que usa el puerto 500, lo que indica que no se implementa ningún recorrido TDR. (El recorrido TDR usa el puerto 4500 u otro puerto aleatorio de número alto.)

  • Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 28756/ unlim indica que la vida útil de fase 2 caduca en 28756 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está desactivada.

  • El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.

El resultado del show security ipsec security-associations index 16385 detail comando enumera la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una de las causas más comunes de una falla de fase 2 es una discordancia del ID de proxy. Si no se muestra ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores externos, el ID de proxy se debe ingresar manualmente para que coincida.

  • Otra razón común para el error de fase 2 es no especificar el enlace de interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca las opciones de seguimiento.

Verificar enlaces de túnel de salto siguiente

Propósito

Después de completar la fase 2 para todos los pares, verifique los enlaces de túnel del siguiente salto.

Acción

Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.

Significado

Las puertas de enlace del siguiente salto son las direcciones IP para las interfaces st0 de todos los pares de radio remotos. El siguiente salto debe asociarse con el nombre de VPN IPsec correcto. Si no existe ninguna entrada NHTB, no hay forma de que el dispositivo concentrador diferencie qué VPN IPsec está asociada con qué salto siguiente.

El campo Flag tiene uno de los valores siguientes:

  • Estático: el NHTB se configuró manualmente en las configuraciones de interfaz st0.0, lo que es necesario si el par no es un firewall de la serie SRX.

  • Automático: la NHTB no se configuró, pero la entrada se rellenaba automáticamente en la tabla NHTB durante las negociaciones de fase 2 entre dos firewalls de la serie SRX

No hay ninguna tabla NHTB para ninguno de los sitios de radio en este ejemplo. Desde la perspectiva radial, la interfaz st0 sigue siendo un vínculo punto a punto con solo un enlace VPN IPsec.

Verificar rutas estáticas para LAN locales de pares remotos

Propósito

Compruebe que la ruta estática hace referencia a la dirección IP st0 del par del radio.

Acción

Desde el modo operativo, ingrese el show route comando.

El siguiente salto es la dirección IP st0 del par remoto, y ambas rutas apuntan a st0.0 como la interfaz de salida.

Revisión de estadísticas y errores para una asociación de seguridad IPsec

Propósito

Revise los contadores de encabezados y errores esp y de autenticación para una asociación de seguridad IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec statistics index comando.

También puede usar el show security ipsec statistics comando para revisar estadísticas y errores de todas las SA.

Para borrar todas las estadísticas de IPsec, utilice el clear security ipsec statistics comando.

Significado

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando o show security ipsec statistics detail varias veces para confirmar que los contadores de paquetes cifrados y descifrados se están incrementando. También debe comprobar si los otros contadores de errores se están incrementando.

Prueba del flujo de tráfico a través de la VPN

Propósito

Verifique el flujo de tráfico a través de la VPN.

Acción

Puede usar el ping comando del firewall serie SRX para probar el flujo de tráfico a una PC de host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de políticas.

Desde el modo operativo, ingrese el ping comando.

También puede usar el ping comando desde el dispositivo serie SSG.

Significado

Si el ping comando falla desde el dispositivo serie SRX o SSG, puede haber un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y el descifrado de los paquetes ESP.

Tabla de historial de versiones
Liberación
Descripción
19.4R1
A partir de Junos OS versión 19.4R1, ahora puede configurar solo un atributo DN dinámico entre container-string y wildcard-string en [edit security ike gateway gateway_name dynamic distinguished-name] la jerarquía. Si intenta configurar el segundo atributo después de configurar el primer atributo, el primer atributo se sustituye por el segundo atributo. Antes de actualizar el dispositivo, debe quitar uno de los atributos si ha configurado ambos atributos.
15.1X49-D80
A partir de Junos OS versión 15.1X49-D80, las VPN de punto de conexión dinámico en los firewalls serie SRX admiten tráfico IPv6 en túneles seguros.
12.3X48-D40
A partir de Junos OS versión 12.3X48-D40, Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, todas las puertas de enlace de puntos de conexión dinámicos configuradas en firewalls serie SRX que usan la misma interfaz externa pueden usar diferentes políticas de IKE, pero las políticas de IKE deben usar la misma propuesta de IKE.