EN ESTA PÁGINA
Descripción general de la configuración de VPN IPsec con IKE de clave automática
Descripción general de la configuración de VPN IPsec con claves manuales
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas
Descripción de la autenticación OSPF y OSPFv3 en dispositivos de la serie SRX
Ejemplo: Configuración de autenticación IPsec para una interfaz OSPF en un dispositivo serie SRX
Descripción general de la configuración de VPN IPsec
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de marcado remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos como enrutadores, conmutadores y otros equipos de red que conforman la WAN pública. Se crea un túnel IPsec entre dos dispositivos participantes para proteger la comunicación VPN.
Descripción general de la configuración de VPN IPsec con IKE de clave automática
La negociación VPN IPsec se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la asociación de seguridad IPsec (SA). En la fase 2, los participantes negocian la SA de IPsec para autenticar el tráfico que fluye a través del túnel.
Esta descripción general describe los pasos básicos para configurar una VPN IPsec basada en rutas o basada en políticas mediante IKE de clave automática (claves o certificados previamente compartidos).
Para configurar una VPN IPsec basada en rutas o basada en políticas mediante IKE de clave automática:
Consulte también
Descripción general de la configuración de VPN IPsec con claves manuales
Esta descripción general describe los pasos básicos para configurar una VPN IPsec basada en rutas o basada en políticas mediante claves manuales.
Para configurar una VPN IPsec basada en rutas o basada en políticas mediante claves manuales:
Consulte también
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas
Tabla 1 enumera las opciones de configuración de una VPN genérica de sitio a sitio entre dos dispositivos de seguridad con direcciones IP estáticas. La VPN puede estar basada en rutas o en políticas.
Opción de configuración |
Comentario |
|---|---|
Opciones de configuración de ICR: |
|
IKE de clave automática con certificados |
No se recomienda la clave manual. |
Modo principal |
Se utiliza cuando los pares tienen direcciones IP estáticas. |
Certificados RSA o DSA |
Los certificados RSA o DSA se pueden usar en el dispositivo local. Especifique el tipo de certificado (PKCS7 o X.509) en el par. |
Grupo Diffie-Hellman (DH) 14 |
El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2 o 5. |
Cifrado estándar de cifrado avanzado (AES) |
AES es criptográficamente más fuerte que el estándar de cifrado de datos (DES) y triple DES (3DES) cuando las longitudes de las claves son iguales. Algoritmo de cifrado aprobado para estándares federales de procesamiento de información (FIPS) y estándares EAL4 de criterios comunes. |
Autenticación del algoritmo hash seguro 256 (SHA-256) |
SHA-256 ofrece más seguridad criptográfica que SHA-1 o Síntesis de mensajes 5 (MD5). |
Opciones de configuración IPsec: |
|
Grupo DH perfecto de confidencialidad directa (PFS) 14 |
El grupo DH 14 de PFS proporciona una mayor seguridad porque los pares realizan un segundo intercambio DH para producir la clave utilizada para el cifrado y descifrado IPsec. |
Protocolo de carga de seguridad de encapsulación (ESP) |
ESP proporciona confidencialidad a través del cifrado y la encapsulación del paquete IP original e integridad mediante la autenticación. |
Cifrado AES |
AES es criptográficamente más fuerte que DES y 3DES cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para estándares FIPS y criterios comunes EAL4. |
Autenticación SHA-256 |
SHA-256 ofrece más seguridad criptográfica que SHA-1 o MD5. |
Protección contra reproducción |
Habilitado de forma predeterminada. Deshabilitar esta función puede resolver problemas de compatibilidad con pares de terceros. |
Consulte también
Opciones de configuración recomendadas para VPN de sitio a sitio o marcado con direcciones IP dinámicas
Tabla 2 enumera las opciones de configuración de una VPN genérica de sitio a sitio o de marcado, donde los dispositivos par tienen direcciones IP dinámicas.
Opción de configuración |
Comentario |
|---|---|
Opciones de configuración de ICR: |
|
IKE de clave automática con certificados |
No se recomienda la clave manual. |
Modo principal |
Se usa con certificados. |
Certificados de 2048 bits |
Se pueden usar certificados RSA o DSA. Especifique el certificado que se va a utilizar en el dispositivo local. Especifique el tipo de certificado (PKCS7 o X.509) en el par. |
Grupo Diffie-Hellman (DH) 14 |
El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2 o 5. |
Cifrado estándar de cifrado avanzado (AES) |
AES es criptográficamente más fuerte que el estándar de cifrado de datos (DES) y triple DES (3DES) cuando las longitudes de las claves son iguales. Algoritmo de cifrado aprobado para estándares federales de procesamiento de información (FIPS) y estándares EAL4 de criterios comunes. |
Autenticación del algoritmo hash seguro 256 (SHA-256) |
SHA-256 ofrece más seguridad criptográfica que SHA-1 o síntesis de mensajes 5 (MD5). |
Opciones de configuración IPsec: |
|
Grupo DH perfecto de confidencialidad directa (PFS) 14 |
El grupo DH 14 de PFS proporciona una mayor seguridad porque los pares realizan un segundo intercambio DH para producir la clave utilizada para el cifrado y descifrado IPsec. |
Protocolo de carga de seguridad de encapsulación (ESP) |
ESP proporciona confidencialidad a través del cifrado y la encapsulación del paquete IP original e integridad mediante la autenticación. |
Cifrado AES |
AES es criptográficamente más fuerte que DES y 3DES cuando las longitudes de clave son iguales. Algoritmo de cifrado aprobado para estándares FIPS y criterios comunes EAL4. |
Autenticación SHA-256 |
SHA-256 ofrece más seguridad criptográfica que SHA-1 o MD5. |
Protección contra reproducción |
Habilitado de forma predeterminada. Deshabilitar esto puede resolver problemas de compatibilidad con pares de terceros. |
Consulte también
Descripción de VPN IPsec con puntos de conexión dinámicos
- Descripción general
- Identidad de IKE
- Modo agresivo para política IKEv1
- Políticas de ICR e interfaces externas
- TDR
- IDs de IKE compartidos y de grupo
Descripción general
Un par VPN IPsec puede tener una dirección IP que no sea conocida por el par con el que está estableciendo la conexión VPN. Por ejemplo, un par puede tener una dirección IP asignada dinámicamente mediante el Protocolo de configuración dinámica de host (DHCP). Este podría ser el caso de un cliente de acceso remoto en una sucursal o oficina en casa o un dispositivo móvil que se mueve entre diferentes ubicaciones físicas. O bien, el par se puede encontrar detrás de un dispositivo TDR que traduce la dirección IP de origen original del par en una dirección diferente. Un par VPN con una dirección IP desconocida se conoce como un punto de conexión dinámico y una VPN establecida con un punto de conexión dinámico se denomina VPN de punto de conexión dinámico.
En los dispositivos de la serie SRX, IKEv1 o IKEv2 se admiten con VPN de punto de conexión dinámicas. Las VPN de punto de conexión dinámicas en dispositivos de la serie SRX admiten tráfico IPv4 en túneles seguros. A partir de Junos OS versión 15.1X49-D80, las VPN de punto de conexión dinámicas en dispositivos serie SRX admiten tráfico IPv6 en túneles seguros.
No se admite tráfico IPv6 para redes AutoVPN.
En las siguientes secciones se describen los elementos a tener en cuenta al configurar una VPN con un punto de conexión dinámico.
Identidad de IKE
En el punto de conexión dinámico, se debe configurar una identidad IKE para que el dispositivo se identifique a sí mismo con su par. La identidad local del punto de conexión dinámico se verifica en el par. De forma predeterminada, el dispositivo de la serie SRX espera que la identidad de IKE sea una de las siguientes opciones:
Cuando se utilizan certificados, se puede usar un nombre distinguido (DN) para identificar usuarios o una organización.
Un nombre de host o un nombre de dominio completo (FQDN) que identifica el punto de conexión.
Un nombre de dominio completo de usuario (UFQDN), también conocido como usuario en nombre de host. Esta es una cadena que sigue el formato de dirección de correo electrónico.
Modo agresivo para política IKEv1
Cuando IKEv1 se utiliza con VPN de punto de conexión dinámico, la política de IKE se debe configurar para el modo agresivo. IKEv2 no utiliza el modo agresivo, por lo que puede configurar el modo principal o agresivo cuando use IKEv2 con VPN de punto de conexión dinámicas.
Políticas de ICR e interfaces externas
A partir de Junos OS versión 12.3X48-D40, Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, todas las puertas de enlace dinámicas de punto de conexión configuradas en dispositivos de la serie SRX que utilizan la misma interfaz externa pueden usar políticas IKE diferentes, pero las políticas de IKE deben usar la misma propuesta de IKE. Esto se aplica a IKEv1 y IKEv2.
TDR
Si el punto de conexión dinámico está detrás de un dispositivo TDR, TDR-T debe configurarse en el dispositivo de la serie SRX. Es posible que se necesiten keepalives TDR para mantener la traducción de TDR durante la conexión entre los pares de VPN. De forma predeterminada, TDR-T está habilitado en dispositivos de la serie SRX y los keepalives TDR se envían a intervalos de 20 segundos.
IDs de IKE compartidos y de grupo
Puede configurar un túnel VPN individual para cada punto de conexión dinámico. En el caso de las VPN de punto de conexión dinámicaS IPv4, puede usar el ID de IKE del grupo o las funciones de ID de IKE compartidas para permitir que varios puntos de conexión dinámicos compartan una configuración de puerta de enlace IKE.
El ID de IKE del grupo le permite definir una parte común de un ID de IKE completo para todos los puntos de conexión dinámicos, como "example.net". Una parte específica del usuario, como el nombre de usuario "Bob", concatenada con la parte común forma un ID de IKE completo (Bob.example.net) que identifica de forma única cada conexión de usuario.
El ID de IKE compartido permite que los puntos de conexión dinámicos compartan un único ID de IKE y una clave previamente compartida.
Consulte también
Descripción de la configuración de identidad de IKE
La identificación de IKE (ID de IKE) se utiliza para la validación de dispositivos par VPN durante la negociación de IKE. El ID de IKE recibido por el dispositivo de la serie SRX desde un par remoto puede ser una dirección IPv4 o IPv6, un nombre de host, un nombre de dominio completo (FQDN), un FQDN de usuario (UFQDN) o un nombre distinguido (DN). El ID de IKE enviado por el par remoto debe coincidir con lo que espera el dispositivo de la serie SRX. De lo contrario, se produce un error en la validación del ID de IKE y no se establece la VPN.
- Tipos de ID de IKE
- IDs de ICR remotos y VPN de sitio a sitio
- IDs de ICR remotos y VPN de punto de conexión dinámico
- ID de IKE local del dispositivo de la serie SRX
Tipos de ID de IKE
Los dispositivos de la serie SRX admiten los siguientes tipos de identidades IKE para pares remotos:
Una dirección IPv4 o IPv6 se utiliza comúnmente con VPN de sitio a sitio, donde el par remoto tiene una dirección IP estática.
Un nombre de host es una cadena que identifica el sistema par remoto. Puede ser un FQDN que se resuelve en una dirección IP. También puede ser un FQDN parcial que se usa junto con un tipo de usuario IKE para identificar un usuario remoto específico.
Cuando se configura un nombre de host en lugar de una dirección IP, la configuración confirmada y el establecimiento de túnel subsiguiente se basan en la dirección IP resuelta actualmente. Si cambia la dirección IP del par remoto, la configuración ya no es válida.
Una UFQDN es una cadena que sigue el mismo formato que una dirección de correo electrónico, como
user@example.com.Una DN es un nombre que se usa con certificados digitales para identificar de forma exclusiva a un usuario. Por ejemplo, una DN puede ser "CN=user, DC=example, DC=com." Opcionalmente, puede usar la
containerpalabra clave para especificar que el orden de los campos de una DN y sus valores coincidan exactamente con la DN configurada, o usar lawildcardpalabra clave para especificar que los valores de los campos de una DN deben coincidir, pero el orden de los campos no importa.A partir de Junos OS versión 19.4R1, ahora solo puede configurar un atributo DN dinámico entre
container-stringywildcard-stringen la[edit security ike gateway gateway_name dynamic distinguished-name]jerarquía. Si intenta configurar el segundo atributo después de configurar el primer atributo, el primer atributo se sustituye por el segundo atributo. Antes de actualizar el dispositivo, debe quitar uno de los atributos si configuró ambos atributos.Un tipo de usuario IKE se puede usar con AutoVPN y VPN de acceso remoto cuando hay varios pares remotos que se conectan a la misma puerta de enlace VPN en el dispositivo de la serie SRX. Configure
ike-user-type group-ike-idpara especificar un ID de IKE de grupo oike-user-type shared-ike-idpara especificar un ID de IKE compartido.
IDs de ICR remotos y VPN de sitio a sitio
Para VPN de sitio a sitio, el ID de IKE del par remoto puede ser la dirección IP de la tarjeta de interfaz de red de salida, una dirección de circuito cerrado, un nombre de host o un ID de IKE configurado manualmente, según la configuración del dispositivo par.
De forma predeterminada, los dispositivos de la serie SRX esperan que el ID de IKE del par remoto sea la dirección IP configurada con la set security ike gateway gateway-name address configuración. Si el ID de IKE del par remoto es un valor diferente, debe configurar la remote-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name].
Por ejemplo, una puerta de enlace IKE en los dispositivos de la serie SRX está configurada con el set security ike gateway remote-gateway address 203.0.113.1 comando. Sin embargo, el ID de IKE enviado por el par remoto es host.example.net. Hay una discordancia entre lo que el dispositivo de la serie SRX espera para el ID de IKE del par remoto (203.0.113.1) y el ID de IKE real (host.example.net) enviado por el par. En este caso, se produce un error en la validación del ID de IKE. Utilice el set security ike gateway remote-gateway remote-identity hostname host.example.net para hacer coincidir el ID de IKE recibido del par remoto.
IDs de ICR remotos y VPN de punto de conexión dinámico
Para VPN de punto de conexión dinámicas, el ID de IKE esperado del par remoto se configura con las opciones en el nivel de jerarquía [edit security ike gateway gateway-name dynamic]. Para AutoVPN, hostname se puede combinar con ike-user-type group-ike-id cuando hay varios pares que tienen un nombre de dominio común. Si se utilizan certificados para comprobar el par, se puede configurar una DN.
ID de IKE local del dispositivo de la serie SRX
De forma predeterminada, el dispositivo serie SRX utiliza la dirección IP de su interfaz externa al par remoto como su ID de IKE. Este ID de IKE se puede invalidar configurando la local-identity instrucción en el nivel de jerarquía [edit security ike gateway gateway-name]. Si necesita configurar la local-identity instrucción en un dispositivo serie SRX, asegúrese de que el ID de IKE configurado coincida con el ID de IKE esperado por el par remoto.
Consulte también
Configuración de IKE remotos para VPN de sitio a sitio
De forma predeterminada, los dispositivos de la serie SRX validan el ID de IKE recibido del par con la dirección IP configurada para la puerta de enlace IKE. En determinadas configuraciones de red, el ID de IKE recibido del par (que puede ser una dirección IPv4 o IPv6, un nombre de dominio completo [FQDN], un nombre distinguido o una dirección de correo electrónico) no coincide con la puerta de enlace IKE configurada en el dispositivo de la serie SRX. Esto puede dar lugar a un error de validación de fase 1.
Para modificar la configuración del dispositivo serie SRX o del par para el ID de IKE que se utiliza:
En el dispositivo de la serie SRX, configure la
remote-identityinstrucción en el nivel de jerarquía [edit security ike gateway gateway-name] para que coincida con el ID de IKE que se recibe del par. Los valores pueden ser una dirección IPv4 o IPv6, FQDN, nombre distinguido o dirección de correo electrónico.Si no configura
remote-identity, el dispositivo utiliza la dirección IPv4 o IPv6 que corresponde al par remoto de forma predeterminada.En el dispositivo par, asegúrese de que el ID de IKE sea el mismo que el
remote-identityconfigurado en el dispositivo serie SRX. Si el dispositivo par es un dispositivo serie SRX, configure lalocal-identityinstrucción en el nivel de jerarquía [edit security ike gateway gateway-name]. Los valores pueden ser una dirección IPv4 o IPv6, FQDN, nombre distinguido o dirección de correo electrónico.
Consulte también
Descripción de la autenticación OSPF y OSPFv3 en dispositivos de la serie SRX
OSPFv3 no tiene un método de autenticación integrado y se basa en el conjunto de seguridad IP (IPsec) para proporcionar esta funcionalidad. IPsec proporciona autenticación de origen, integridad de datos, confidencialidad, protección de reproducción y no repetición de origen. Puede usar IPsec para proteger interfaces OSPFv3 específicas y vínculos virtuales, y para proporcionar cifrado para paquetes OSPF.
OSPFv3 utiliza el encabezado de autenticación IP (AH) y las partes de carga de seguridad de encapsulación (ESP) de IP del protocolo IPsec para autenticar la información de enrutamiento entre pares. AH puede proporcionar integridad sin conexión y autenticación de origen de datos. También proporciona protección contra repeticiones. AH autentica la mayor parte del encabezado IP como sea posible, así como los datos de protocolo de nivel superior. Sin embargo, algunos campos de encabezado IP pueden cambiar en tránsito. Dado que el remitente podría no predecir el valor de estos campos, no pueden estar protegidos por AH. ESP puede proporcionar cifrado y confidencialidad limitada del flujo de tráfico o integridad sin conexión, autenticación de origen de datos y un servicio anti-reproducción.
IPsec se basa en asociaciones de seguridad (SA). Una SA es un conjunto de especificaciones IPsec que se negocian entre dispositivos que establecen una relación IPsec. Esta conexión simplex proporciona servicios de seguridad a los paquetes que transporta la SA. Estas especificaciones incluyen preferencias para el tipo de autenticación, cifrado y protocolo IPsec que se usará al establecer la conexión IPsec. Una SA se utiliza para cifrar y autenticar un flujo determinado en una dirección. Por lo tanto, en el tráfico bidireccional normal, los flujos están protegidos por un par de SA. Una SA que se va a usar con OSPFv3 debe configurarse manualmente y usar el modo de transporte. Los valores estáticos se deben configurar en ambos extremos de la SA.
Para configurar IPsec para OSPF o OSPFv3, defina primero una SA manual con la security-association sa-name opción en el nivel de jerarquía [edit security ipsec]. Esta función solo admite SA de clave manual bidireccional en modo de transporte. Las SA manuales no requieren negociación entre los pares. Todos los valores, incluidas las claves, son estáticos y se especifican en la configuración. Las SA manuales definen estáticamente los valores del índice de parámetros de seguridad (SPI), los algoritmos y las claves que se van a usar y requieren configuraciones coincidentes en ambos puntos de conexión (pares OSPF o OSPFv3). Como resultado, cada par debe tener las mismas opciones configuradas para que tenga lugar la comunicación.
La elección real de algoritmos de cifrado y autenticación se deja al administrador de IPsec; sin embargo, tenemos las siguientes recomendaciones:
Use ESP con cifrado null para proporcionar autenticación a encabezados de protocolo, pero no al encabezado IPv6, encabezados de extensión y opciones. Con el cifrado null, elige no proporcionar cifrado en encabezados de protocolo. Esto puede ser útil para fines de solución de problemas y depuración. Para obtener más información acerca del cifrado null, consulte RFC 2410, El algoritmo de cifrado NULL y su uso con IPsec.
Utilice ESP con DES o 3DES para una confidencialidad completa.
Utilice AH para proporcionar autenticación a encabezados de protocolo, campos inmutables en encabezados IPv6 y encabezados y opciones de extensión.
La SA configurada se aplica a las configuraciones OSPF o OSPFv3 de la siguiente manera:
Para una interfaz OSPF o OSPFv3, incluya la
ipsec-sa nameinstrucción en el nivel de jerarquía [edit protocols ospf area area-id interface interface-name] o [edit protocols ospf3 area area-id interface interface-name]. Solo se puede especificar un nombre SA IPsec para una interfaz OSPF o OSPFv3; sin embargo, diferentes interfaces OSPF/OSPFv3 pueden especificar la misma SA IPsec.Para un vínculo virtual OSPF o OSPFv3, incluya la
ipsec-sa nameinstrucción en el nivel de jerarquía [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] o [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id]. Debe configurar la misma SA IPsec para todos los vínculos virtuales con la misma dirección de punto de conexión remota.
Las siguientes restricciones se aplican a la autenticación IPsec para OSPF o OSPFv3 en dispositivos serie SRX:
Las configuraciones de VPN manuales que se configuran en el nivel de jerarquía [
edit security ipsec vpn vpn-name manual] no se pueden aplicar a interfaces OSPF o OSPFv3 o vínculos virtuales para proporcionar autenticación Y confidencialidad IPsec.No puede configurar IPsec para la autenticación OSPF o OSPFv3 si hay una VPN IPsec existente configurada en el dispositivo con las mismas direcciones locales y remotas.
La autenticación IPsec para OSPF o OSPFv3 no se admite mediante interfaces st0 de túnel seguras.
No se admite la rekeying de claves manuales.
No se admiten SA dinámicas de intercambio de claves por internet (IKE).
Solo se admite el modo de transporte IPsec. En el modo de transporte, solo la carga (los datos que transfiere) del paquete IP está cifrada, autenticada o ambas. No se admite el modo de túnel.
Dado que solo se admiten SA manuales bidireccionales, todos los pares OSPFv3 deben configurarse con la misma SA IPsec. Configure una SA bidireccional manual en el nivel de jerarquía [
edit security ipsec].Debe configurar la misma SA IPsec para todos los vínculos virtuales con la misma dirección de punto de conexión remota.
Consulte también
Ejemplo: Configuración de autenticación IPsec para una interfaz OSPF en un dispositivo serie SRX
En este ejemplo, se muestra cómo configurar y aplicar una asociación de seguridad manual (SA) a una interfaz OSPF.
Requisitos
Antes de comenzar:
Configure las interfaces del dispositivo.
Configure los identificadores de enrutador para los dispositivos de su red OSPF.
Controle la elección del enrutador designado por OSPF.
Configure una red OSPF de una sola área.
Configure una red OSPF multiarea.
Descripción general
Puede usar la autenticación IPsec para OSPF y OSPFv3. Configure la SA manual por separado y aplíquela a la configuración OSPF correspondiente. Tabla 3 enumera los parámetros y valores configurados para la SA manual en este ejemplo.
Parámetro |
valor |
|---|---|
Nombre de SA |
sa1 |
Modo |
Transporte |
Dirección |
Bidireccional |
Protocolo |
AH |
SPI |
256 |
Algoritmo de autenticación Clave |
hmac-md5-96 (ASCII) 123456789012abc |
Algoritmo de cifrado Clave |
Des (ASCII) cba210987654321 |
Configuración
Configuración de una SA manual
Configuración rápida de CLI
Para configurar rápidamente una SA manual que se usará para la autenticación IPsec en una interfaz OSPF, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar una SA manual:
Especifique un nombre para la SA.
[edit] user@host# edit security ipsec security-association sa1
Especifique el modo de la SA manual.
[edit security ipsec security-association sa1] user@host# set mode transport
Configure la dirección de la SA manual.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
Configure el protocolo IPsec que se va a usar.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
Configure el valor del SPI.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
Configure el algoritmo de autenticación y la clave.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
Configure el algoritmo de cifrado y la clave.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Resultados
Confirme su configuración ingresando el show security ipsec comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Después de configurar la contraseña, no verá la contraseña en sí. El resultado muestra la forma cifrada de la contraseña que configuró.
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Habilitación de la autenticación IPsec para una interfaz OSPF
Configuración rápida de CLI
Para aplicar rápidamente una SA manual utilizada para la autenticación IPsec a una interfaz OSPF, copie el siguiente comando, péguelo en un archivo de texto, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue el comando en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Procedimiento paso a paso
Para habilitar la autenticación IPsec para una interfaz OSPF:
Cree un área OSPF.
Para especificar OSPFv3, incluya la
ospf3instrucción en el[edit protocols]nivel de jerarquía.[edit] user@host# edit protocols ospf area 0.0.0.0
Especifique la interfaz.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Aplique la SA manual de IPsec.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Resultados
Confirme su configuración ingresando el show ospf interface detail comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Para confirmar la configuración de OSPFv3, escriba el show protocols ospf3 comando.
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar la configuración de la asociación de seguridad IPsec
- Verificar la asociación de seguridad IPsec en la interfaz OSPF
Verificar la configuración de la asociación de seguridad IPsec
Propósito
Compruebe la configuración de asociación de seguridad IPsec configurada. Verifique la siguiente información:
El campo Asociación de seguridad muestra el nombre de la asociación de seguridad configurada.
El campo SPI muestra el valor que configuró.
El campo Modo muestra el modo de transporte.
El campo Tipo muestra el manual como el tipo de asociación de seguridad.
Acción
Desde el modo operativo, ingrese el show ospf interface detail comando.
Verificar la asociación de seguridad IPsec en la interfaz OSPF
Propósito
Compruebe que la asociación de seguridad IPsec que configuró se haya aplicado a la interfaz OSPF. Confirme que el campo nombre SA de IPsec muestra el nombre de la asociación de seguridad IPsec configurada.
Acción
Desde el modo operativo, ingrese el show ospf interface detail comando para OSPF y ingrese el show ospf3 interface detail comando para OSPFv3.
Configuración de VPN IPsec mediante el Asistente de VPN
El Asistente de VPN le permite realizar la configuración básica de VPN IPsec, incluida la fase 1 y la fase 2. Para una configuración más avanzada, utilice la interfaz J-Web o la CLI. Esta función se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.
Para configurar VPN IPsec mediante el Asistente para VPN:
- Seleccione
Configure>Device Setup>VPNen la interfaz J-Web. - Haga clic en el botón Iniciar asistente vpn.
- Siga las indicaciones del asistente.
El área superior izquierda de la página del asistente muestra dónde está en el proceso de configuración. El área inferior izquierda de la página muestra ayuda sensible al campo. Cuando haga clic en un vínculo en el encabezado Recursos, el documento se abrirá en su navegador. Si el documento se abre en una pestaña nueva, asegúrese de cerrar solo la pestaña (no la ventana del navegador) cuando cierre el documento.
Consulte también
Ejemplo: Configuración de una VPN radial
En este ejemplo, se muestra cómo configurar una VPN IPsec radial para una implementación de clase empresarial.
Requisitos
En este ejemplo, se utiliza el siguiente hardware:
Dispositivo SRX240
Dispositivo SRX5800
Dispositivo SSG140
Antes de comenzar, lea Descripción general de IPsec.
Descripción general
En este ejemplo, se describe cómo configurar una VPN radial que normalmente se encuentra en implementaciones de sucursales. El centro es la oficina corporativa, y hay dos radios: una sucursal en Sunnyvale, California, y una sucursal en Westford, Massachusetts. Los usuarios de las sucursales usarán la VPN para transferir datos de forma segura con la oficina corporativa.
Figura 1 muestra un ejemplo de una topología VPN radial. En esta topología, un dispositivo SRX5800 se encuentra en la oficina corporativa. Un dispositivo serie SRX se encuentra en la sucursal de Westford, y un dispositivo SSG140 se encuentra en la sucursal de Sunnyvale.
En este ejemplo, se configura el centro de oficinas corporativo, el Westford habló y sunnyvale habló. Primero configure interfaces, rutas estáticas y predeterminadas IPv4, zonas de seguridad y libretas de direcciones. A continuación, configure los parámetros de fase 1 e IPsec fase 2 de IKE y enlazar la interfaz st0.0 a la VPN IPsec. En el concentrador, configure st0.0 para varios puntos y agregue una entrada de tabla NHTB estática para el radio Sunnyvale. Por último, configure la política de seguridad y los parámetros TCP-MSS. Consulte Tabla 4 a través Tabla 8 para ver los parámetros de configuración específicos que se utilizan en este ejemplo.
Concentrador o radio |
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|---|
Hub |
Interfaces |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
Habló |
Interfaces |
ge-0/0/0.0 |
10.3.3.2/30 |
ge-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
Hub |
Zonas de seguridad |
Confianza |
|
Untrust |
|
||
Vpn |
La interfaz st0.0 está enlazada a esta zona. |
||
Habló |
Zonas de seguridad |
Confianza |
|
Untrust |
|
||
Vpn |
La interfaz st0.0 está enlazada a esta zona. |
||
Hub |
Entradas de libreta de direcciones |
red local |
|
sunnyvale-net |
|
||
westford-net |
|
||
Habló |
Entradas de libreta de direcciones |
red local |
|
corp-net |
|
||
sunnyvale-net |
|
Concentrador o radio |
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|---|
Hub |
Propuesta |
ike-phase1-proposal |
|
Política |
ike-phase1-policy |
|
|
Gateway |
gw-westford |
|
|
gw-sunnyvale |
|
||
Habló |
Propuesta |
ike-phase1-proposal |
|
Política |
ike-phase1-policy |
|
|
Gateway |
gw-corporate |
|
Concentrador o radio |
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|---|
Hub |
Propuesta |
ipsec-phase2-proposal |
|
Política |
ipsec-phase2-policy |
|
|
VPN |
vpn-sunnyvale |
|
|
vpn-westford |
|
||
Habló |
Propuesta |
ipsec-phase2-proposal |
|
Política |
ipsec-phase2-policy |
|
|
VPN |
vpn-corporativa |
|
Concentrador o radio |
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|---|
Hub |
La política de seguridad permite el tráfico desde la zona de confianza hasta la zona vpn. |
de radio a local |
|
La política de seguridad permite el tráfico desde la zona vpn hasta la zona de confianza. |
radio a local |
Criterios de coincidencia:
|
|
La política de seguridad permite el tráfico intrazona. |
spoke-to-spoke |
Criterios de coincidencia:
|
|
Habló |
La política de seguridad permite el tráfico desde la zona de confianza hasta la zona vpn. |
a cuerpo |
|
La política de seguridad permite el tráfico desde la zona vpn hasta la zona de confianza. |
desde-corp |
Criterios de coincidencia:
|
|
La política de seguridad permite el tráfico desde la zona de desconfianza hasta la zona de confianza. |
permiso-cualquier |
Criterios de coincidencia:
|
Propósito |
Parámetros de configuración |
|---|---|
El TCC-MSS se negocia como parte del protocolo de enlace de tres vías TCP y limita el tamaño máximo de un segmento TCP para adaptarse mejor a los límites de la MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación IPsec, junto con la sobrecarga de IP y trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que causa fragmentación. La fragmentación da como resultado un mayor uso del ancho de banda y los recursos del dispositivo. El valor de 1350 es un punto de partida recomendado para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que tenga que experimentar con diferentes valores TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que deba cambiar el valor si cualquier dispositivo de la ruta tiene una MTU inferior, o si hay alguna sobrecarga adicional, como PPP o Frame Relay. |
Valor MSS: 1350 |
Configuración
- Configuración de la información básica de la red, la zona de seguridad y la libreta de direcciones para el hub
- Configuración de IKE para el hub
- Configuración de IPsec para el hub
- Configuración de políticas de seguridad para el hub
- Configuración de TCP-MSS para el hub
- Configuración de la información básica de la red, la zona de seguridad y la libreta de direcciones para el spoke de Westford
- Configuración de IKE para el radio westford
- Configuración de IPsec para westford spoke
- Configuración de políticas de seguridad para westford spoke
- Configuración de TCP-MSS para el radio westford
- Configuración del radio Sunnyvale
Configuración de la información básica de la red, la zona de seguridad y la libreta de direcciones para el hub
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar la información básica de la red, la zona de seguridad y la libreta de direcciones para el concentrador:
Configure la información de la interfaz Ethernet.
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Configure la información de ruta estática.
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
Configure la zona de seguridad de desconfianza.
[edit ] user@hub# set security zones security-zone untrust
Asigne una interfaz a la zona de seguridad de desconfianza.
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
Especifique los servicios del sistema permitidos para la zona de seguridad de desconfianza.
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
Configure la zona de seguridad de confianza.
[edit] user@hub# edit security zones security-zone trust
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
Cree una libreta de direcciones y adjunte una zona.
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
Configure la zona de seguridad vpn.
[edit] user@hub# edit security zones security-zone vpn
Asigne una interfaz a la zona de seguridad vpn.
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
Cree otra libreta de direcciones y adjunte una zona.
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
Resultados
Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-options, show security zonesy show security address-book . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IKE para el hub
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar IKE para el concentrador:
Cree la propuesta de fase 1 de ICR.
[edit security ike] user@hub# set proposal ike-phase1-proposal
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
Defina el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
Defina el algoritmo de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
Defina el algoritmo de cifrado de propuesta de IKE.
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
Cree una política de fase 1 de ICR.
[edit security ike] user@hub# set policy ike-phase1-policy
Establezca el modo de política de fase 1 de ICR.
[edit security ike policy ike-phase1-policy] user@hub# set mode main
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
Defina el método de autenticación de política de fase 1 de ICR.
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
Defina la referencia de política de fase 1 de ICR.
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
Defina la dirección de puerta de enlace de fase 1 de ICR.
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
Defina la referencia de política de fase 1 de ICR.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
Defina la dirección de puerta de enlace de fase 1 de ICR.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IPsec para el hub
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar IPsec para el concentrador:
Cree una propuesta de fase 2 de IPsec.
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
Especifique el algoritmo de cifrado de propuesta de fase 2 IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
Cree la política de fase 2 de IPsec.
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
Especifique la referencia de propuesta de fase 2 de IPsec.
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
Especifique PFS de fase 2 IPsec para usar el grupo Diffie-Hellman 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Especifique las puertas de enlace IKE.
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
Especifique las políticas de fase 2 de IPsec.
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
Especifique la interfaz que desea enlazar.
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
Configure la interfaz st0 como multipunto.
[edit] user@hub# set interfaces st0 unit 0 multipoint
Agregue entradas de tabla NHTB estáticas para las oficinas de Sunnyvale y Westford.
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de políticas de seguridad para el hub
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar políticas de seguridad para el concentrador:
Cree la política de seguridad para permitir el tráfico de la zona de confianza a la zona vpn.
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
Cree la política de seguridad para permitir el tráfico de la zona vpn a la zona de confianza.
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
Cree la política de seguridad para permitir el tráfico intrazona.
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de TCP-MSS para el hub
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimiento paso a paso
Para configurar la información de TCP-MSS para el concentrador:
Configure la información de TCP-MSS.
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de la información básica de la red, la zona de seguridad y la libreta de direcciones para el spoke de Westford
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar la información básica de la red, la zona de seguridad y la libreta de direcciones para el westford habló:
Configure la información de la interfaz Ethernet.
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
Configure la información de ruta estática.
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
Configure la zona de seguridad de desconfianza.
[edit] user@spoke# set security zones security-zone untrust
Asigne una interfaz a la zona de seguridad.
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
Especifique los servicios del sistema permitidos para la zona de seguridad de desconfianza.
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
Configure la zona de seguridad de confianza.
[edit] user@spoke# edit security zones security-zone trust
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
Configure la zona de seguridad vpn.
[edit] user@spoke# edit security zones security-zone vpn
Asigne una interfaz a la zona de seguridad vpn.
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
Cree una libreta de direcciones y adjunte una zona.
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
Cree otra libreta de direcciones y adjunte una zona.
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
Resultados
Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-options, show security zonesy show security address-book . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IKE para el radio westford
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar la IKE para el radio de Westford:
Cree la propuesta de fase 1 de ICR.
[edit security ike] user@spoke# set proposal ike-phase1-proposal
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
Defina el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
Defina el algoritmo de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
Defina el algoritmo de cifrado de propuesta de IKE.
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Cree una política de fase 1 de ICR.
[edit security ike] user@spoke# set policy ike-phase1-policy
Establezca el modo de política de fase 1 de ICR.
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
Defina el método de autenticación de política de fase 1 de ICR.
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
Defina la referencia de política de fase 1 de ICR.
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
Defina la dirección de puerta de enlace de fase 1 de ICR.
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IPsec para westford spoke
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar IPsec para el radio de Westford:
Cree una propuesta de fase 2 de IPsec.
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
Especifique el algoritmo de cifrado de propuesta de fase 2 IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Cree la política de fase 2 de IPsec.
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
Especifique la referencia de propuesta de fase 2 de IPsec.
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
Especifique PFS de fase 2 IPsec para usar el grupo Diffie-Hellman 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Especifique la puerta de enlace IKE.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
Especifique la política de fase 2 de IPsec.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
Especifique la interfaz que desea enlazar.
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de políticas de seguridad para westford spoke
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.
Para configurar políticas de seguridad para el westford habló:
Cree la política de seguridad para permitir el tráfico de la zona de confianza a la zona vpn.
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
Cree la política de seguridad para permitir el tráfico de la zona vpn a la zona de confianza.
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de TCP-MSS para el radio westford
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimiento paso a paso
Para configurar TCP-MSS para el radio westford:
Configure la información de TCP-MSS.
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del radio Sunnyvale
Configuración rápida de CLI
En este ejemplo, se utiliza un dispositivo serie SSG para el radio Sunnyvale. Como referencia, se proporciona la configuración del dispositivo de la serie SSG. Para obtener información sobre cómo configurar dispositivos de la serie SSG, consulte la Guía de referencia de ScreenOS de conceptos y ejemplos, que se encuentra en https://www.juniper.net/documentation.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el estado de fase 1 de ICR
- Verificar el estado de fase 2 de IPsec
- Verificar enlaces de túnel de próximo salto
- Verificar rutas estáticas para LAN locales de par remoto
- Revisión de estadísticas y errores para una asociación de seguridad IPsec
- Prueba del flujo de tráfico a través de la VPN
Verificar el estado de fase 1 de ICR
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a un host en las redes 192.168.168/24 y 192.168.178/24 para hacer que los túneles aumenten. Para VPN basadas en rutas, puede enviar tráfico iniciado desde el dispositivo serie SRX a través del túnel. Recomendamos que, al probar túneles IPsec, envíe tráfico de prueba desde un dispositivo independiente de un lado de la VPN a un segundo dispositivo del otro lado de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.
Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for doneSignificado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
Índice: este valor es único para cada SA de IKE, que puede usar en el
show security ike security-associations index detailcomando para obtener más información sobre la SA.Dirección remota: compruebe que la dirección IP remota sea correcta.
Estado
UP: se ha establecido la SA de fase 1.
ABAJO: hubo un problema al establecer la SA de fase 1.
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que la siguiente información sea correcta en su configuración:
Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)
Parámetros de política de ICR
Información de clave previamente compartida
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations index 1 detail comando enumera información adicional acerca de la asociación de seguridad con un número de índice de 1:
Algoritmos de autenticación y cifrado utilizados
Duración de la fase 1
Estadísticas de tráfico (se pueden utilizar para comprobar que el tráfico fluye correctamente en ambas direcciones)
Información del rol del iniciador y del respondedor
La solución de problemas se realiza mejor en el par mediante el rol de respondedor.
Número de SA IPsec creadas
Número de negociaciones de fase 2 en curso
Verificar el estado de fase 2 de IPsec
Propósito
Verifique el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
El número de ID es 16385. Utilice este valor con el
show security ipsec security-associations indexcomando para obtener más información acerca de esta SA en particular.Hay un par SA IPsec que usa el puerto 500, lo que indica que no se implementa ningún recorrido TDR. (El recorrido TDR utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
Las SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 28756/unlim indica que la duración de la fase 2 caduca en 28756 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitado. La vida útil de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está inactiva.
El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.
El resultado del show security ipsec security-associations index 16385 detail comando enumera la siguiente información:
La identidad local y la identidad remota conforman el ID de proxy para la SA.
Una discordancia de ID de proxy es una de las causas más comunes de una falla de fase 2. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores de terceros, el ID de proxy se debe especificar manualmente para que coincida.
Otra razón común para el error de fase 2 es no especificar el enlace de interfaz ST. Si IPsec no puede completarse, compruebe el registro kmd o establezca opciones de seguimiento.
Verificar enlaces de túnel de próximo salto
Propósito
Después de que la fase 2 esté completa para todos los pares, verifique los enlaces de túnel del próximo salto.
Acción
Desde el modo operativo, ingrese el show security ipsec next-hop-tunnels comando.
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
Significado
Las puertas de enlace de salto siguiente son las direcciones IP para las interfaces st0 de todos los pares de radio remotos. El siguiente salto se debe asociar con el nombre VPN IPsec correcto. Si no existe ninguna entrada NHTB, no hay forma para que el dispositivo hub diferencie qué VPN IPsec está asociada con qué salto siguiente.
El campo Indicador tiene uno de los siguientes valores:
Estático: el NHTB se configuró manualmente en las configuraciones de interfaz st0.0, lo que es necesario si el par no es un dispositivo de la serie SRX.
Automático: no se configuró NHTB, pero la entrada se relló automáticamente en la tabla NHTB durante las negociaciones de fase 2 entre dos dispositivos de la serie SRX
No hay ninguna tabla NHTB para ninguno de los sitios radiales en este ejemplo. Desde la perspectiva radial, la interfaz st0 sigue siendo un vínculo punto a punto con solo un enlace VPN IPsec.
Verificar rutas estáticas para LAN locales de par remoto
Propósito
Verifique que la ruta estática haga referencia a la dirección IP st0 del par radial.
Acción
Desde el modo operativo, ingrese el show route comando.
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0El siguiente salto es la dirección IP st0 del par remoto, y ambas rutas apuntan a st0.0 como la interfaz de salida.
Revisión de estadísticas y errores para una asociación de seguridad IPsec
Propósito
Revise los contadores y errores del encabezado de autenticación y ESP para una asociación de seguridad IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec statistics index comando.
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
También puede usar el show security ipsec statistics comando para revisar estadísticas y errores de todas las SA.
Para borrar todas las estadísticas de IPsec, use el clear security ipsec statistics comando.
Significado
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando o show security ipsec statistics detail varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar si los otros contadores de errores se incrementan.
Prueba del flujo de tráfico a través de la VPN
Propósito
Verifique el flujo de tráfico a través de la VPN.
Acción
Puede usar el ping comando desde el dispositivo de la serie SRX para probar el flujo de tráfico a una PC host remota. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de políticas.
Desde el modo operativo, ingrese el ping comando.
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
También puede usar el ping comando desde el dispositivo de la serie SSG.
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
Significado
Si el ping comando falla desde el dispositivo serie SRX o serie SSG, es posible que haya un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y descifrado de paquetes ESP.
container-string y wildcard-string en la [edit security ike gateway gateway_name dynamic distinguished-name] jerarquía. Si intenta configurar el segundo atributo después de configurar el primer atributo, el primer atributo se sustituye por el segundo atributo. Antes de actualizar el dispositivo, debe quitar uno de los atributos si configuró ambos atributos.