EN ESTA PÁGINA
Introducción a la configuración de IPsec VPN con Autokey ICR
Introducción a la configuración de claves manuales de IPsec VPN
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas
Configuración de identificadores de ICR remotos para VPN de sitio a sitio
Descripción de la autenticación OSPF y OSPFv3 en dispositivos serie SRX
Ejemplo Configuración de una VPN de concentrador y periferia
Introducción a la configuración de IPsec VPN
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos tales como enrutadores, conmutadores y otros equipos de red que forman la WAN pública. Para proteger la comunicación VPN se crea un túnel IPsec entre dos dispositivos participantes.
Introducción a la configuración de IPsec VPN con Autokey ICR
La negociación VPN de IPsec se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la Asociación de seguridad IPsec (SA). En la fase 2, los participantes negocian la SA IPsec para autenticar el tráfico que fluirá a través del túnel.
En esta introducción se describen los pasos básicos para configurar una VPN basada en rutas o IPsec que utilice Autokey ICR (claves previamente compartidas o certificados).
Para configurar una VPN basada en rutas o IPsec con Autokey ICR:
Consulte también
Introducción a la configuración de claves manuales de IPsec VPN
En esta introducción se describen los pasos básicos para configurar una VPN de IPsec basada en rutas o de Directiva mediante claves manuales.
Para configurar una VPN de IPsec basada en rutas o en la Directiva mediante claves manuales:
Consulte también
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas
Tabla 1enumera las opciones de configuración de una VPN de sitio a sitio genérica entre dos dispositivos de seguridad con direcciones IP estáticas. La VPN puede estar basada en rutas o en una directiva.
Opción de configuración |
Coment |
|---|---|
ICR opciones de configuración: |
|
Autokey ICR con certificados |
No se recomienda usar la tecla manual. |
Modo principal |
Se utiliza cuando los interlocutores tienen direcciones IP estáticas. |
Certificados RSA o DSA |
Los certificados RSA o DSA se pueden usar en el dispositivo local. Especifique el tipo de certificado (PKCS7 o X. 509) en el interlocutor. |
Grupo Diffie-Hellman (DH) 14 |
El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2 o 5. |
Cifrado de estándar de cifrado avanzado (AES) |
AES es criptográficamente más seguro que el estándar de cifrado de datos (DES) y triple DES (3DES) cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para estándares de estándares federales de procesamiento de la información (FIPS) y Common Criteria EAL4. |
Autenticación de algoritmo de hash seguro 256 (SHA-256) |
SHA-256 proporciona mayor seguridad de cifrado que SHA-1 o Message Digest 5 (MD5). |
Opciones de configuración de IPsec: |
|
Confidencialidad directa perfecta (PFS) grupo DH 14 |
PFS DH grupo 14 proporciona mayor seguridad porque los interlocutores realizan un segundo intercambio DH para generar la clave utilizada para el cifrado y descifrado de IPsec. |
Protocolo ESP (carga de seguridad de encapsulación) |
ESP proporciona la confidencialidad a través del cifrado y encapsulación del paquete IP original y de su integridad mediante la autenticación. |
Encriptación AES |
AES es criptográficamente más seguro que DES y 3DES cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para los estándares FIPS y Common Criteria EAL4. |
Autenticación SHA-256 |
SHA-256 proporciona más seguridad de cifrado que SHA-1 o MD5. |
Protección contra la reproducción |
Habilitada de forma predeterminada. Si deshabilita esta característica, puede que se resuelvan los problemas de compatibilidad con los interlocutores de terceros. |
Consulte también
Opciones de configuración recomendadas para VPN de sitio a sitio o de acceso telefónico con direcciones IP dinámicas
Tabla 2enumera las opciones de configuración de una VPN de sitio a sitio genérica o de acceso telefónico, donde los dispositivos del mismo nivel tienen direcciones IP dinámicas.
Opción de configuración |
Coment |
|---|---|
ICR opciones de configuración: |
|
Autokey ICR con certificados |
No se recomienda usar la tecla manual. |
Modo principal |
Se utiliza con certificados. |
certificados de 2048 bits |
Se pueden usar certificados RSA o DSA. Especifique el certificado que se utilizará en el dispositivo local. Especifique el tipo de certificado (PKCS7 o X. 509) en el interlocutor. |
Grupo Diffie-Hellman (DH) 14 |
El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2 o 5. |
Cifrado de estándar de cifrado avanzado (AES) |
AES es criptográficamente más seguro que el estándar de cifrado de datos (DES) y triple DES (3DES) cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para estándares de estándares federales de procesamiento de la información (FIPS) y Common Criteria EAL4. |
Autenticación de algoritmo de hash seguro 256 (SHA-256) |
SHA-256 proporciona mayor seguridad de cifrado que SHA-1 o Message Digest 5 (MD5). |
Opciones de configuración de IPsec: |
|
Confidencialidad directa perfecta (PFS) grupo DH 14 |
PFS DH grupo 14 proporciona mayor seguridad porque los interlocutores realizan un segundo intercambio DH para generar la clave utilizada para el cifrado y descifrado de IPsec. |
Protocolo ESP (carga de seguridad de encapsulación) |
ESP proporciona la confidencialidad a través del cifrado y encapsulación del paquete IP original y de su integridad mediante la autenticación. |
Encriptación AES |
AES es criptográficamente más seguro que DES y 3DES cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para los estándares FIPS y Common Criteria EAL4. |
Autenticación SHA-256 |
SHA-256 proporciona más seguridad de cifrado que SHA-1 o MD5. |
Protección contra la reproducción |
Habilitada de forma predeterminada. Si lo deshabilita, puede que se resuelvan los problemas de compatibilidad con los interlocutores de terceros. |
Consulte también
Descripción de VPN de IPsec con extremos dinámicos
- Descripción general
- ICR identidad
- Modo de borrado absoluto para la Directiva IKEv1
- Políticas de ICR e interfaces externas
- TDR
- Identificadores de ICR agrupados y compartidos
Descripción general
Un IPsec del mismo nivel de VPN puede tener una dirección IP que el interlocutor con el que está estableciendo la conexión VPN no conoce. Por ejemplo, un interlocutor puede tener una dirección IP asignada dinámicamente mediante el protocolo de configuración dinámica de host (DHCP). Éste podría ser el caso con un cliente de acceso remoto en una sucursal o una oficina de casa o un dispositivo móvil que se mueve entre ubicaciones físicas diferentes. O bien, el par se puede encontrar detrás de un dispositivo TDR que traduce la dirección IP de origen original del par a una dirección diferente. Una VPN peer con una dirección IP desconocida se conoce como extremo dinámico y una VPN establecida con un extremo dinámico se conoce como una VPN de extremo dinámico.
En serie SRX dispositivos, IKEv1 o IKEv2 se admite con VPN de extremo dinámico. Las VPN de extremo dinámico en serie SRX dispositivos admiten el tráfico IPv4 en túneles seguros. A partir de Junos OS Release 15.1-D80, las VPN de extremo dinámico en los dispositivos serie SRX admiten tráfico IPv6 en túneles seguros.
El tráfico IPv6 no es compatible con las redes AutoVPN.
En las siguientes secciones se describen los elementos que se deben tener en cuenta al configurar una VPN con un extremo dinámico.
ICR identidad
En el extremo dinámico, debe configurarse una ICR identidad para que el dispositivo se identifique a sí mismo en el mismo nivel. Se verifica la identidad local del extremo dinámico en el interlocutor. De forma predeterminada, serie SRX dispositivo espera que la identidad del ICR sea una de las siguientes:
Cuando se utilizan certificados, se puede usar un nombre completo (DN) para identificar a los usuarios o a una organización.
Un nombre de host o FQDN (Fully Qualified Domain Name) que identifica el extremo.
Un nombre de dominio completo del usuario (UFQDN), también conocido como usuario en host. Se trata de una cadena que sigue el formato de dirección de correo electrónico.
Modo de borrado absoluto para la Directiva IKEv1
Cuando IKEv1 se utiliza con VPN de extremo dinámico, la Directiva de ICR debe configurarse para el modo intenso. IKEv2 no usa el modo agresivo, por lo que puede configurar el modo principal o agresivo al usar IKEv2 con VPN de extremo dinámico.
Políticas de ICR e interfaces externas
A partir de Junos OS versión 12.3 X48-D40, Junos OS Release 15.1 X49-D70 y Junos OS Release R1, todas las puertas de enlace dinámicas configuradas en serie SRX los dispositivos que utilizan la misma interfaz externa pueden utilizar distintas directivas ICR, pero las políticas ICR deben usar la misma propuesta de ICR. Esto se aplica a IKEv1 e IKEv2.
TDR
Si el extremo dinámico está detrás de un dispositivo TDR, TDR-T debe configurarse en el dispositivo serie SRX. TDR Keepalives podrían ser necesarias para mantener el TDR la traducción durante la conexión entre los interlocutores VPN. De forma predeterminada, TDR-T está habilitado en los dispositivos serie SRX y TDR keepalive se envían a intervalos de 20 segundos.
Identificadores de ICR agrupados y compartidos
Puede configurar un túnel VPN individual para cada extremo dinámico. Para VPN de extremo dinámico de IPv4, puede usar las características de ID ICR de grupo o de ID. compartidos de ICR para permitir que una serie de extremos dinámicos compartan una configuración ICR puerta de enlace.
El ID ICR grupo le permite definir una parte común de un ID de ICR completo para todos los puntos de conexión dinámicos, como "example.net". Una parte específica del usuario, como el nombre de usuario "Bob", concatenada con la parte común, forma un ID de ICR completo (Bob.example.net) que identifica de forma exclusiva a cada conexión de usuario.
El identificador de ICR compartidos permite a los extremos dinámicos compartir un único ID ICR y una clave previamente compartida.
Consulte también
Descripción de ICR configuración de identidad
La identificación de ICR (ID ICR) se utiliza para la validación de dispositivos VPN del mismo nivel durante la negociación ICR. El ICR ID recibido por el dispositivo serie SRX desde un elemento del mismo nivel remoto puede ser una dirección IPv4 o IPv6, un nombre de host, un FQDN, un FQDN de usuario (UFQDN) o un nombre completo (DN). El identificador de ICR enviado por el interlocutor remoto debe coincidir con lo que espera el dispositivo serie SRX. De lo contrario, se produce un error en la validación del identificador ICR y no se establece la VPN.
- ICR tipos de ID
- Identificadores de ICR remoto y VPN de sitio a sitio
- Identificadores de ICR remoto y VPN de extremo dinámico
- ID. de ICR local del dispositivo serie SRX
ICR tipos de ID
Los dispositivos serie SRX admiten los siguientes tipos de identidades de ICR para los interlocutores remotos:
Una dirección IPv4 o IPv6 se utiliza comúnmente con VPN de sitio a sitio, donde el interlocutor remoto tiene una dirección IP estática.
Un nombre de host es una cadena que identifica el sistema del mismo nivel remoto. Puede ser un FQDN que se resuelva en una dirección IP. También puede ser un FQDN parcial que se utiliza junto con un tipo de usuario ICR para identificar a un usuario remoto específico.
Cuando se configura un nombre de host en lugar de una dirección IP, la configuración confirmada y el siguiente establecimiento del túnel se basan en la dirección IP resuelta actualmente. Si cambia la dirección IP del par remoto, la configuración ya no es válida.
Una UFQDN es una cadena que sigue el mismo formato que una dirección de correo electrónico,
user@example.comcomo.Un DN es un nombre que se utiliza con certificados digitales para identificar de forma exclusiva a un usuario. Por ejemplo, una DN puede ser "CN=user, DC=example, DC=com." Opcionalmente, puede usar la palabra clave para especificar que el orden de los campos de una DN y sus valores coincidan exactamente con la DN configurada, o usar la palabra clave para especificar que los valores de los campos de una DN deben coincidir, pero el orden de los campos
containerwildcardno importa.A partir de Junos OS versión 19.4 R1, ahora puede configurar únicamente un atributo DN dinámico entre
container-stringywildcard-stringen[edit security ike gateway gateway_name dynamic distinguished-name]la jerarquía. Si intenta configurar el segundo atributo después de configurar el primer atributo, el primero se sustituye por el segundo atributo. Antes de actualizar el dispositivo, debe eliminar uno de los atributos si ha configurado ambos atributos.Se puede usar un ICR tipo de usuario con AutoVPN y VPN de acceso remoto cuando hay varios interlocutores remotos que se conectan a la misma puerta de enlace VPN en el dispositivo serie SRX. Configure
ike-user-type group-ike-idpara especificar un id de ICRike-user-type shared-ike-idde grupo o para especificar un ID de ICR compartido.
Identificadores de ICR remoto y VPN de sitio a sitio
Para VPN de sitio a sitio, el ID de ICR del par remoto puede ser la dirección IP de la tarjeta de interfaz de red de salida, una dirección de circuito cerrado, un nombre de host o un ID de ICR configurado manualmente, dependiendo de la configuración del dispositivo par.
De forma predeterminada, los dispositivos serie SRX esperan que el ID de ICR remoto sea la dirección IP configurada con la set security ike gateway gateway-name address configuración. Si el ID de ICR remoto es un valor diferente, debe configurar la instrucción remote-identity en el nivel de jerarquía [ edit security ike gateway gateway-name ].
Por ejemplo, una puerta de enlace de ICR en los dispositivos serie SRX se set security ike gateway remote-gateway address 203.0.113.1 configura con el comando. Sin embargo, el identificador de ICR enviado por el interlocutor host.example.netremoto es. Hay una discordancia entre lo que espera el dispositivo de la serie SRX para el ID de ICR del par remoto (203.0.113.1) y el ID de ICR real ( ) enviado por el host.example.net par. En este caso, se produce un error en la validación del identificador ICR. Use el set security ike gateway remote-gateway remote-identity hostname host.example.net para hacer coincidir el identificador de ICR recibido del interlocutor remoto.
Identificadores de ICR remoto y VPN de extremo dinámico
Para VPN de punto de conexión dinámico, el ID de ICR de conexión esperado del par remoto se configura con las opciones en el edit security ike gateway gateway-name dynamic nivel jerárquico [ ]. Para AutoVPN, hostname se combina ike-user-type group-ike-id con puede usarse donde hay varios elementos del mismo nivel que tienen un nombre de dominio común. Si se utilizan certificados para comprobar el elemento del mismo nivel, puede configurarse un DN.
ID. de ICR local del dispositivo serie SRX
De forma predeterminada, el dispositivo serie SRX utiliza la dirección IP de su interfaz externa con el interlocutor remoto como su ID ICR. Este identificador de ICR puede reemplazarse configurando local-identity la instrucción en eledit security ike gateway gateway-namenivel de jerarquía []. Si necesita configurar la local-identity instrucción en un dispositivo serie SRX, asegúrese de que el identificador ICR configurado coincide con el ID ICR que espera el interlocutor remoto.
Consulte también
Configuración de identificadores de ICR remotos para VPN de sitio a sitio
De forma predeterminada, los dispositivos serie SRX validan el identificador de ICR recibido del interlocutor con la dirección IP configurada para la puerta de enlace de ICR. En algunas configuraciones de red, el ICR identificador recibido del sistema del mismo nivel (que puede ser una dirección IPv4 o IPv6, un nombre de dominio completo [FQDN], un nombre completo o una dirección de correo electrónico) no coincide con la puerta de enlace de ICR configurada en el dispositivo serie SRX. Esto puede conducir a un fallo en la validación de la fase 1.
Para modificar la configuración del dispositivo de serie SRX o del dispositivo del mismo nivel para el ID. de ICR que se usa:
En el dispositivo de serie SRX, configure la
remote-identityinstrucción enedit security ike gateway gateway-nameel nivel de jerarquía [] para que coincida con el ID ICR que se recibe del elemento del mismo nivel. Los valores pueden ser direcciones IPv4 o IPv6, FQDN, nombres completos o direcciones de correo electrónico.Si no lo configura
remote-identity, el dispositivo usa la dirección IPv4 o IPv6 que corresponde al interlocutor remoto de forma predeterminada.En el dispositivo del mismo nivel, asegúrese de que el ID ICR sea igual
remote-identityque el que se configuró en el dispositivo serie SRX. Si el dispositivo del mismo nivel es un dispositivo serie SRX,local-identityconfigure la instrucciónedit security ike gateway gateway-nameen el nivel de jerarquía []. Los valores pueden ser direcciones IPv4 o IPv6, FQDN, nombres completos o direcciones de correo electrónico.
Consulte también
Descripción de la autenticación OSPF y OSPFv3 en dispositivos serie SRX
OSPFv3 no cuenta con un método de autenticación integrado y se basa en el conjunto de seguridad IP (IPsec) para proporcionar esta funcionalidad. IPsec proporciona autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no rechazo del código fuente. Puede utilizar IPsec para proteger interfaces OSPFv3 específicas y vínculos virtuales, así como para proporcionar cifrado para paquetes OSPF.
OSPFv3 utiliza el encabezado de autenticación IP (AH) y las partes de carga de seguridad de encapsulación (ESP) del protocolo IPsec para autenticar la información de enrutamiento entre iguales del mismo nivel. AH puede proporcionar integridad sin conexión y autenticación del origen de los datos. También proporciona protección contra las reproducciones. AH autentica tantos encabezados IP como sea posible, así como los datos de protocolo de nivel superior. Sin embargo, algunos campos de encabezado IP pueden cambiar durante el tránsito. Dado que es posible que el remitente no pueda predecir el valor de estos campos, no pueden protegerse por AH. ESP puede proporcionar cifrado y confidencialidad de flujo de tráfico limitado o integridad sin conexión, autenticación de origen de datos y un servicio anti-reproducción.
IPsec se basa en asociaciones de seguridad (SA). Una SA es un conjunto de especificaciones IPsec que se negocian entre los dispositivos que establecen una relación IPsec. Esta conexión símplex proporciona servicios de seguridad a los paquetes que transporta la SA. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado e protocolo IPsec que se utilizará al establecer la conexión IPsec. Una SA se utiliza para cifrar y autenticar un flujo determinado en una sola dirección. Por lo tanto, en el tráfico bidireccional normal, los flujos se protegen mediante un par de SA. Una SA que se va a usar con OSPFv3 debe configurarse manualmente y usar el modo de transporte. Los valores estáticos deben estar configurados en ambos extremos de la SA.
Para configurar IPsec para el OSPF o OSPFv3, defina primero una SA manual con security-association sa-name la opción en eledit security ipsecnivel jerarquía []. Esta característica solo admite SAs de clave manual bidireccional en el modo de transporte. Las SA manuales no requieren ninguna negociación entre los interlocutores. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores, algoritmos y claves de índice de parámetros de seguridad (SPI) que se deben utilizar y requieren configuraciones coincidentes en ambos puntos de conexión (OSPF o OSPFv3 del mismo nivel). Como resultado, cada interlocutor debe tener las mismas opciones configuradas para que la comunicación tenga lugar.
La elección real del cifrado y los algoritmos de autenticación quedará a su administrador de IPsec; sin embargo, tenemos las siguientes recomendaciones:
Utilice ESP con cifrado nulo para proporcionar autenticación a encabezados de protocolo, pero no al encabezado de IPv6, a los encabezados de extensión y a las opciones. Con el cifrado nulo, se elige no proporcionar cifrado en los encabezados de protocolo. Esto puede ser útil para la solución de problemas y la depuración. Para obtener más información acerca del cifrado null, consulte RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec.
Utilice ESP con DES o 3DES para obtener la máxima confidencialidad.
Utilice AH para proporcionar autenticación a encabezados de protocolo, campos inmutables en encabezados de IPv6, y encabezados y opciones de extensión.
La SA configurada se aplica a las configuraciones OSPF o OSPFv3 de la manera siguiente:
Para una interfaz OSPF o OSPFv3, incluya la
ipsec-sa nameinstrucción en el niveledit protocols ospf area area-id interface interface-namede jerarquía [edit protocols ospf3 area area-id interface interface-name] o []. Solo se puede especificar un nombre de Asociación de IPsec para una interfaz OSPF o OSPFv3; sin embargo, distintas interfaces OSPF/OSPFv3 pueden especificar la misma SA de IPsec.Para un vínculo virtual OSPF o OSPFv3, incluya la
ipsec-sa nameinstrucción en el niveledit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-idde jerarquía [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] o []. Debe configurar la misma asociación de IPsec para todos los vínculos virtuales con la misma dirección de extremo remoto.
Las siguientes restricciones se aplican a la autenticación IPsec para el OSPF o OSPFv3 en los dispositivos serie SRX:
Las configuraciones de VPN manuales configuradas en
edit security ipsec vpn vpn-name manualel nivel [] no pueden aplicarse a OSPF o a interfaces ospfv3 o vínculos virtuales para proporcionar confidencialidad y autenticación IPSec.No puede configurar IPsec para la autenticación OSPF o OSPFv3 si hay una VPN IPsec configurada en el dispositivo con las mismas direcciones local y remota.
No se admite IPsec para la autenticación OSPF o OSPFv3 a través de interfaces de st0 de túnel seguras.
No se admite la regeneración de claves manuales.
No se admiten las SA de Intercambio de claves por red dinámicas (ICR).
Solo se admite el modo de transporte IPsec. En el modo de transporte, solo se cifra, autentica o se realiza una de ambas cargas (los datos que transfiere) del paquete IP. No se admite el modo de túnel.
Dado que solo se admiten las SA manuales bidireccionales, todos los OSPFv3 del mismo nivel deben estar configurados con la misma SA de IPsec. Configure una SA bidireccional manual en el nivel
edit security ipsec[] de la jerarquía.Debe configurar la misma asociación de IPsec para todos los vínculos virtuales con la misma dirección de extremo remoto.
Consulte también
Ejemplo Configuración de la autenticación IPsec para una interfaz de OSPF en un dispositivo serie SRX
En este ejemplo, se muestra cómo configurar y aplicar una asociación de seguridad manual (SA) a una interfaz de OSPF.
Aplicables
Antes de empezar:
Configure las interfaces del dispositivo.
Configure los identificadores de enrutadores para los dispositivos de su OSPF red.
Controle OSPF las elecciones del enrutador designadas.
Configurar una red de OSPF de una sola área.
Configurar una red OSPF multiárea.
Descripción general
Puede utilizar la autenticación IPsec para OSPF y OSPFv3. Configure el SA manual por separado y aplíquelo a la configuración de OSPF correspondiente. Tabla 3 enumera en este ejemplo los parámetros y valores configurados para el SA manual.
Parámetro |
Valor |
|---|---|
Nombre de SA |
sa1 |
Medio |
transmisión |
Dirección |
bidireccional |
Protocolo |
ENCABEZADO |
SPI |
256 |
Algoritmo de autenticación Fundamentales |
hmac-md5-96 (ASCII) 123456789012abc |
Algoritmo de cifrado Fundamentales |
peste (ASCII) cba210987654321 |
Automática
Configuración de un manual SA
Configuración rápida de CLI
Para configurar rápidamente una SA manual que se utilizará para la autenticación IPsec en una interfaz OSPF, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese desde el modo de editcommit configuración.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar una SA manual:
Especifique un nombre para la SA.
[edit] user@host# edit security ipsec security-association sa1
Especifique el modo de la SA manual.
[edit security ipsec security-association sa1] user@host# set mode transport
Configure la dirección del manual de SA.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
Configure el protocolo IPsec que se va a utilizar.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
Configure el valor del IRP.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
Configure el algoritmo y la clave de autenticación.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
Configure el algoritmo y la clave de cifrado.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Resultados
Confirme su configuración introduciendo el show security ipsec comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Después de configurar la contraseña, no verá la propia contraseña. El resultado muestra la forma codificada de la contraseña configurada.
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Habilitar la autenticación IPsec para una interfaz OSPF
Configuración rápida de CLI
Para aplicar rápidamente una SA manual utilizada para la autenticación IPsec a una interfaz OSPF, copie el siguiente comando, péguelo en un archivo de texto, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue el comando en el CLI en el nivel de jerarquía [ ] y, luego, ingrese desde el modo de editcommit configuración.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Procedimiento paso a paso
Para habilitar la autenticación IPsec para una interfaz de OSPF:
Cree un área OSPF.
Para especificar OSPFv3, incluya la
ospf3instrucción en el[edit protocols]nivel de jerarquía.[edit] user@host# edit protocols ospf area 0.0.0.0
Especifique la interfaz.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Aplique la Asociación manual de IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Resultados
Confirme su configuración introduciendo el show ospf interface detail comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Para confirmar la configuración de OSPFv3, escriba el show protocols ospf3 comando.
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Comproba
Confirme que la configuración funciona correctamente.
- Comprobación de la configuración de la Asociación de seguridad IPsec
- Comprobación de la Asociación de seguridad IPsec en la interfaz de OSPF
Comprobación de la configuración de la Asociación de seguridad IPsec
Purpose
Compruebe la configuración de la Asociación de seguridad IPsec configurada. Compruebe la siguiente información:
El campo Asociación de seguridad muestra el nombre de la Asociación de seguridad configurada.
El campo IRP muestra el valor que ha configurado.
El campo modo muestra el modo de transporte.
El campo tipo muestra manual como el tipo de Asociación de seguridad.
Intervención
En modo operativo, escriba el show ospf interface detail comando.
Comprobación de la Asociación de seguridad IPsec en la interfaz de OSPF
Purpose
Compruebe que la Asociación de seguridad IPsec configurada se ha aplicado a la interfaz de OSPF. Confirme que el campo Nombre SA de IPsec muestra el nombre de la Asociación de seguridad IPsec configurada.
Intervención
Desde el modo operativo, escriba el show ospf interface detail comando para OSPF y escriba el comando para show ospf3 interface detail OSPFv3.
Configuración de IPsec VPN mediante el Asistente para VPN
El asistente VPN le permite ejecutar la configuración básica de VPN IPsec, incluidas la fase 1 y la fase 2. Para obtener una configuración más avanzada, utilice la interfaz J-web o la CLI. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Para configurar IPsec VPN mediante el Asistente para VPN:
- Seleccione
Configure>Device Setup>VPNen la interfaz J-Web. - Haga clic en el botón Asistente para iniciar VPN.
- Siga las indicaciones del asistente.
El área superior izquierda de la página del asistente muestra dónde se encuentra en el proceso de configuración. El área izquierda inferior de la página muestra ayuda sensible al campo. Al hacer clic en un vínculo en el encabezado recursos, el documento se abre en el explorador. Si el documento se abre en una nueva ficha, asegúrese de cerrar únicamente la ficha (no la ventana del explorador) cuando cierre el documento.
Consulte también
Ejemplo Configuración de una VPN de concentrador y periferia
En este ejemplo se muestra cómo configurar una VPN de IPsec radial para una implementación de clase empresarial.
Aplicables
Este ejemplo utiliza el siguiente hardware:
Dispositivo SRX240
Dispositivo SRX5800
Dispositivo SSG140
Antes de comenzar, lea Introducción a VPN de IPSec.
Descripción general
En este ejemplo se describe cómo configurar una VPN de concentrador y periferia que normalmente se encuentra en las implementaciones de sucursales. El centro es la oficina corporativa y hay dos radios: una sucursal en Sunnyvale, California, y una sucursal en Westford, Massachussets. Los usuarios de las sucursales utilizarán la VPN para transferir datos de forma segura con la oficina corporativa.
Figura 1muestra un ejemplo de una topología VPN radial. En esta topología, un dispositivo SRX5800 se encuentra en la oficina corporativa. Un dispositivo serie SRX se encuentra en la sucursal Westford, y un dispositivo SSG140 se encuentra en la rama Sunnyvale.
En este ejemplo, puede configurar el concentrador de la oficina corporativa, los radios Westford y los radios de la Sunnyvale. En primer lugar, configure las interfaces, las rutas estáticas y predeterminadas de IPv4, las zonas de seguridad y las libretas de direcciones. A continuación, configure ICR parámetros Phase 1 e IPsec Phase 2, y enlace la interfaz St 0.0 al VPN de IPsec. En el concentrador, configure St 0.0 para multipoint y agregue una entrada de la tabla NHTB estática para The Sunnyvale Spokes. Por último, configure la Directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 4 a Tabla 8 través de los parámetros de configuración específicos que se utilizan en este ejemplo.
Concentrador o periferia |
Función |
Nombre |
Parámetros de configuración |
|---|---|---|---|
Navegación |
Interfaces |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
Feria |
Interfaces |
ge-0/0/0.0 |
10.3.3.2/30 |
ge-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
Navegación |
Zonas de seguridad |
confia |
|
no fiable |
|
||
virtuales |
La interfaz St 0.0 está enlazada a esta zona. |
||
Feria |
Zonas de seguridad |
confia |
|
no fiable |
|
||
virtuales |
La interfaz St 0.0 está enlazada a esta zona. |
||
Navegación |
Entradas de la libreta de direcciones |
local-net |
|
Sunnyvale-net |
|
||
Westford-net |
|
||
Feria |
Entradas de la libreta de direcciones |
local-net |
|
Corp net |
|
||
Sunnyvale-net |
|
Concentrador o periferia |
Función |
Nombre |
Parámetros de configuración |
|---|---|---|---|
Navegación |
Clasificado |
ike-phase1-proposal |
|
Políticas |
ike-phase1-policy |
|
|
Gateway |
GW-Westford |
|
|
GW-Sunnyvale |
|
||
Feria |
Clasificado |
ike-phase1-proposal |
|
Políticas |
ike-phase1-policy |
|
|
Gateway |
GW-corporativo |
|
Concentrador o periferia |
Función |
Nombre |
Parámetros de configuración |
|---|---|---|---|
Navegación |
Clasificado |
ipsec-phase2-proposal |
|
Políticas |
ipsec-phase2-policy |
|
|
VIRTUALES |
VPN-Sunnyvale |
|
|
VPN-Westford |
|
||
Feria |
Clasificado |
ipsec-phase2-proposal |
|
Políticas |
ipsec-phase2-policy |
|
|
VIRTUALES |
VPN-Corporate |
|
Concentrador o periferia |
Purpose |
Nombre |
Parámetros de configuración |
|---|---|---|---|
Navegación |
La Directiva de seguridad permite el tráfico desde la zona de confianza a la zona VPN. |
locales a los radios |
|
La Directiva de seguridad permite el tráfico desde la zona VPN hasta la zona de confianza. |
radios en el local |
Criterios de coincidencia:
|
|
La Directiva de seguridad permite el tráfico en la zona. |
radio a periferia |
Criterios de coincidencia:
|
|
Feria |
La Directiva de seguridad permite el tráfico desde la zona de confianza a la zona VPN. |
to-Corp |
|
La Directiva de seguridad permite el tráfico desde la zona VPN hasta la zona de confianza. |
from-Corp |
Criterios de coincidencia:
|
|
La Directiva de seguridad permite el tráfico desde la zona de no confianza hasta la zona de confianza. |
permiso-any |
Criterios de coincidencia:
|
Purpose |
Parámetros de configuración |
|---|---|
TCC: MSS se negocia como parte del Protocolo de enlace de TCP por tres vías y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y Frame, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que produce una fragmentación. La fragmentación da como resultado un uso más elevado de los recursos de dispositivos y ancho de banda. El valor 1350 es un punto de partida recomendado para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que necesite experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo de la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay. |
Valor MSS: 1350 |
Automática
- Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el concentrador
- Configurando ICR para el concentrador
- Configuración de IPsec para el concentrador
- Configuración de políticas de seguridad para el concentrador
- Configurar TCP-MSS para el concentrador
- Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el Westford de radios de la periferia
- Configuración de ICR para Westford radios
- Configuración de IPsec para Westford radios
- Configuración de políticas de seguridad para las radios Westford
- Configurar TCP-MSS para Westford radios
- Configuración del radio de Sunnyvale
Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar la red básica, la zona de seguridad y la información de la libreta de direcciones para el concentrador:
Configurar la información de interfaz Ethernet.
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Configurar la información de rutas estáticas.
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
Configure la zona de seguridad que no es de confianza.
[edit ] user@hub# set security zones security-zone untrust
Asigne una interfaz a la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
Configure la zona de seguridad de confianza.
[edit] user@hub# edit security zones security-zone trust
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
Cree una libreta de direcciones y adjúntela a ella una zona.
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
Configure la zona de seguridad VPN.
[edit] user@hub# edit security zones security-zone vpn
Asigne una interfaz a la zona de seguridad VPN.
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
Crear otra libreta de direcciones y conectarle una zona.
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configurando ICR para el concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar ICR para el concentrador:
Cree la propuesta ICR fase 1.
[edit security ike] user@hub# set proposal ike-phase1-proposal
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
Definir el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
Defina el algoritmo de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
Defina el algoritmo de cifrado de la propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
Crear una directiva ICR la fase 1.
[edit security ike] user@hub# set policy ike-phase1-policy
Establecer el modo de directiva ICR fase 1.
[edit security ike policy ike-phase1-policy] user@hub# set mode main
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
Defina el método de autenticación de directivas ICR fase 1.
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
Defina la referencia de directiva ICR fase 1.
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
Defina la dirección de puerta de enlace ICR Phase 1.
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
Defina la referencia de directiva ICR fase 1.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
Defina la dirección de puerta de enlace ICR Phase 1.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configuración de IPsec para el concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar IPsec para el concentrador:
Cree una propuesta relativa a la fase 2 de IPsec.
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
Crear la Directiva de fase 2 de IPsec.
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
Especifique la referencia a la propuesta de la fase 2 de IPsec.
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
Especificar IPsec PFS de fase 2 para utilizar Diffie-Hellman Group 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Especifique las puertas de enlace ICR.
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
Especifique las directivas de la fase 2 de IPsec.
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
Especifique la interfaz que se va a enlazar.
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
Configure la interfaz st0 como multipunto.
[edit] user@hub# set interfaces st0 unit 0 multipoint
Agregue entradas de la tabla NHTB estáticas para las oficinas de Sunnyvale y Westford.
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configuración de políticas de seguridad para el concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar las políticas de seguridad del concentrador:
Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
Crear la Directiva de seguridad para permitir el tráfico en la zona.
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configurar TCP-MSS para el concentrador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimiento paso a paso
Para configurar la información de MSS de TCP para el concentrador:
Configure TCP-MSS Information.
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configuración de la red básica, la zona de seguridad y la libreta de direcciones para el Westford de radios de la periferia
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar la red básica, la zona de seguridad y la información de la libreta de direcciones para la Westford radios:
Configurar la información de interfaz Ethernet.
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
Configurar la información de rutas estáticas.
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
Configure la zona de seguridad que no es de confianza.
[edit] user@spoke# set security zones security-zone untrust
Asigne una interfaz a la zona de seguridad.
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
Configure la zona de seguridad de confianza.
[edit] user@spoke# edit security zones security-zone trust
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
Configure la zona de seguridad VPN.
[edit] user@spoke# edit security zones security-zone vpn
Asigne una interfaz a la zona de seguridad VPN.
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
Cree una libreta de direcciones y adjúntela a ella una zona.
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
Crear otra libreta de direcciones y conectarle una zona.
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configuración de ICR para Westford radios
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar ICR para los radios Westford:
Cree la propuesta ICR fase 1.
[edit security ike] user@spoke# set proposal ike-phase1-proposal
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
Definir el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
Defina el algoritmo de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
Defina el algoritmo de cifrado de la propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Crear una directiva ICR la fase 1.
[edit security ike] user@spoke# set policy ike-phase1-policy
Establecer el modo de directiva ICR fase 1.
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
Defina el método de autenticación de directivas ICR fase 1.
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
Defina la referencia de directiva ICR fase 1.
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
Defina la dirección de puerta de enlace ICR Phase 1.
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configuración de IPsec para Westford radios
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar IPsec para las radios Westford:
Cree una propuesta relativa a la fase 2 de IPsec.
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Crear la Directiva de fase 2 de IPsec.
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
Especifique la referencia a la propuesta de la fase 2 de IPsec.
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
Especificar IPsec PFS de fase 2 para utilizar Diffie-Hellman Group 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Especifique el ICR puerta de enlace.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
Especifique la directiva IPsec de fase 2.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
Especifique la interfaz que se va a enlazar.
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configuración de políticas de seguridad para las radios Westford
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
Procedimiento paso a paso
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.
Para configurar las políticas de seguridad para el Westford radios:
Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configurar TCP-MSS para Westford radios
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimiento paso a paso
Para configurar TCP-MSS para el Westford radios:
Configure TCP-MSS Information.
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Configuración del radio de Sunnyvale
Configuración rápida de CLI
En este ejemplo se utiliza un dispositivo serie SSG para los radios Sunnyvale. Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más información acerca de cómo configurar dispositivos serie SSG, consulte la Guía de referencia de Conceptos y ejemplos de ScreenOS,que se encuentra en la https://www.juniper.net/documentation.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación commit , entrar desde el modo de configuración.
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Comproba
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificación del estado de la fase 1 ICR
- Comprobación del estado de la fase 2 de IPsec
- Comprobación de los enlaces de túnel del próximo salto
- Comprobar rutas estáticas para LAN locales del mismo nivel
- Revisar las estadísticas y los errores de una asociación de seguridad IPsec
- Probar el flujo de tráfico a través de la VPN
Verificación del estado de la fase 1 ICR
Purpose
Compruebe el estado de la fase 1 ICR.
Intervención
Antes de iniciar el proceso de verificación, es necesario enviar tráfico desde un host en la red 192.168.10/24 a un host de las redes 192.168.168/24 y 192.168.178/24 para que los túneles estén en funcionamiento. En el caso de VPN basadas en rutas, puede enviar tráfico iniciado desde el dispositivo serie SRX a través del túnel. A la hora de probar túneles IPsec, se recomienda enviar tráfico de prueba desde un dispositivo independiente en un extremo de la VPN a un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for doneEfectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
Si las SA aparecen en la lista, revise la siguiente información:
Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener
show security ike security-associations index detailmás información acerca de la SA.Dirección remota: compruebe que la dirección IP remota es correcta.
Estado
UP: se estableció la SA de fase 1.
ABAJO: se hubo un problema al establecer la SA de fase 1.
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que la siguiente información de la configuración es correcta:
Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
ICR parámetros de políticas
Información de claves previamente compartidas
Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)
El show security ike security-associations index 1 detail comando enumera la información adicional acerca de la Asociación de seguridad con el número de índice 1:
Algoritmos de autenticación y de cifrado utilizados
Duración de la fase 1
Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de rol de iniciador y de contestador
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Número de SA de IPsec creadas
Número de negociaciones de fase 2 en curso
Comprobación del estado de la fase 2 de IPsec
Purpose
Compruebe el estado de la fase 2 de IPsec.
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
El número de identificación es 16385. Utilice este valor con el
show security ipsec security-associations indexcomando para obtener más información acerca de esta SA en particular.Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 28756/unlim indica que la duración de la fase 2 caduca en 28756 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica que la supervisión no está activa.
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
La salida del show security ipsec security-associations index 16385 detail comando muestra la siguiente información:
La identidad local y la identidad remota constituyen el ID. de proxy de la SA.
Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta, el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.
Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.
Comprobación de los enlaces de túnel del próximo salto
Purpose
Después de completar la fase 2 para todos los interlocutores, compruebe los enlaces de túnel del próximo salto.
Intervención
En modo operativo, escriba el show security ipsec next-hop-tunnels comando.
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
Efectos
Las puertas de enlace de próximo salto son las direcciones IP de las interfaces st0 de todos los interlocutores de radio remotos. El siguiente salto debe asociarse con el nombre correcto de VPN de IPsec. Si no existe ninguna entrada NHTB, es posible que el dispositivo concentrador distinga qué VPN de IPsec está asociada con el siguiente salto.
El campo indicador tiene uno de los siguientes valores:
Estática: NHTB se configuró manualmente en las configuraciones de la interfaz st0.0, lo cual es necesario si el par no es un dispositivo de la serie SRX.
Automático: NHTB no se configuró, pero la entrada se completa de forma automática en la tabla NHTB durante las negociaciones de fase 2 entre dos dispositivos de la serie SRX
No hay ninguna tabla NHTB para ninguno de los sitios radiales de este ejemplo. Desde la perspectiva de los radios, la interfaz st0 sigue siendo un vínculo punto a punto con un único enlace VPN de IPsec.
Comprobar rutas estáticas para LAN locales del mismo nivel
Purpose
Compruebe que la ruta estática hace referencia a la dirección IP st0 del par spoke.
Intervención
En modo operativo, escriba el show route comando.
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0El próximo salto es la dirección IP st0 del par remoto y ambas rutas apuntan a st0.0 como interfaz de salida.
Revisar las estadísticas y los errores de una asociación de seguridad IPsec
Purpose
Revisar los contadores ESP y los encabezados de autenticación, así como los errores de una asociación de seguridad IPsec.
Intervención
En modo operativo, escriba el show security ipsec statistics index comando.
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los errores de todas las SA.
Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.
Efectos
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando show security ipsec statistics detail o varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar si el resto de los contadores de errores se están incrementando.
Probar el flujo de tráfico a través de la VPN
Purpose
Compruebe el flujo de tráfico a través de la VPN.
Intervención
Puede utilizar el ping comando del dispositivo de serie SRX para probar el flujo de tráfico en el PC de un host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de la Directiva.
En modo operativo, escriba el ping comando.
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
También puede usar el ping comando del dispositivo serie SSG.
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
Efectos
Si el ping comando no funciona desde el dispositivo de la serie serie SRX o SSG, es posible que exista un problema con el enrutamiento, las directivas de seguridad, el host final o el cifrado y descifrado de los paquetes ESP.