Descripción general de VPN IPsec
Una VPN es una red privada que usa una red pública para conectar dos o más sitios remotos. En lugar de usar conexiones exclusivas entre redes, las VPN usan conexiones virtuales enrutadas (tunelizadas) a través de redes públicas. VPN IPsec es un protocolo, consiste en un conjunto de estándares utilizados para establecer una conexión VPN.
Una VPN proporciona un medio por el cual los equipos remotos se comunican de manera segura a través de una WAN pública, como Internet.
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de marcado remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos, como enrutadores, conmutadores y otros equipos de red que conforman la WAN pública. Para proteger la comunicación VPN mientras pasan por la WAN, los dos participantes crean un túnel de seguridad IP (IPsec).
El término túnel no indica modo de túnel (consulte Procesamiento de paquetes en modo de túnel). En su lugar, se refiere a la conexión IPsec.
Topologías VPN IPsec en firewalls serie SRX
Las siguientes son algunas de las topologías VPN IPsec compatibles con el sistema operativo (OS) junos:
VPN de sitio a sitio: conecta dos sitios de una organización y permite comunicaciones seguras entre los sitios.
VPN radiales: conecta las sucursales con la oficina corporativa en una red empresarial. También puede usar esta topología para conectar radios mediante el envío de tráfico a través del hub.
VPN de acceso remoto: permite que los usuarios que trabajan en casa o que viajan se conecten a la oficina corporativa y sus recursos. Esta topología a veces se denomina end-to-site tunnel.
Consulte también
Comparación de VPN basadas en políticas y rutas
Es importante comprender las diferencias entre las VPN basadas en políticas y en ruta y por qué una podría ser preferible a la otra.
Tabla 1 enumera las diferencias entre las VPN basadas en rutas y las VPN basadas en políticas.
|
VPN basadas en rutas |
VPN basadas en políticas |
|---|---|
|
Con vpn basadas en rutas, una política no hace referencia específicamente a un túnel VPN. |
Con los túneles VPN basados en políticas, un túnel se trata como un objeto que, junto con el origen, el destino, la aplicación y la acción, constituye una política de túnel que permite el tráfico vpn. |
|
La política hace referencia a una dirección de destino. |
En una configuración de VPN basada en políticas, una política de túnel hace referencia específicamente a un túnel VPN por nombre. |
|
La cantidad de túneles VPN basados en rutas que crea está limitada por la cantidad de entradas de ruta o la cantidad de interfaces st0 que admite el dispositivo, el número que sea menor. |
La cantidad de túneles VPN basados en políticas que puede crear está limitada por la cantidad de políticas que admite el dispositivo. |
|
La configuración de túnel VPN basada en rutas es una buena opción cuando desea conservar los recursos de túnel a la vez que establece restricciones granulares en el tráfico de VPN. |
Con una VPN basada en políticas, aunque puede crear varias políticas de túnel que hacen referencia al mismo túnel VPN, cada par de políticas de túnel crea una asociación de seguridad (SA) de IPsec individual con el par remoto. Cada SA cuenta como un túnel VPN individual. |
|
Con un enfoque basado en rutas para VPN, la regulación del tráfico no se acopla a los medios de su entrega. Puede configurar docenas de políticas para regular el tráfico que fluye a través de un único túnel VPN entre dos sitios, y solo funciona una SA IPsec. Además, una configuración vpn basada en rutas le permite crear políticas que hacen referencia a un destino al que se llega a través de un túnel VPN en el que se niega la acción. |
En una configuración vpn basada en políticas, la acción debe permitirse y debe incluir un túnel. |
|
Las VPN basadas en rutas admiten el intercambio de información de enrutamiento dinámico a través de túneles VPN. Puede habilitar una instancia de un protocolo de enrutamiento dinámico, como OSPF, en una interfaz st0 que está enlazada a un túnel VPN. |
El intercambio de información de enrutamiento dinámico no se admite en VPN basadas en políticas. |
|
Las configuraciones basadas en rutas se utilizan para topologías radiales. |
Las VPN basadas en políticas no se pueden usar para topologías radiales. |
|
Con vpn basadas en rutas, una política no hace referencia específicamente a un túnel VPN. |
Cuando un túnel no conecta redes grandes que ejecutan protocolos de enrutamiento dinámico y no necesita conservar túneles o definir varias políticas para filtrar el tráfico a través del túnel, un túnel basado en políticas es la mejor opción. |
|
Las VPN basadas en rutas no admiten configuraciones de VPN de acceso remoto (marcado). |
Los túneles VPN basados en políticas son necesarios para las configuraciones de VPN de acceso remoto (marcado). |
|
Es posible que las VPN basadas en rutas no funcionen correctamente con algunos proveedores externos. |
Es posible que se requieran VPN basadas en políticas si el tercero requiere SA independientes para cada subred remota. |
|
Cuando el dispositivo de seguridad realiza una búsqueda de ruta para encontrar la interfaz a través de la cual debe enviar tráfico para llegar a una dirección, encuentra una ruta a través de una interfaz de túnel seguro ( Con un túnel VPN basado en rutas, puede considerar un túnel como un medio para entregar tráfico y puede considerar la política como un método para permitir o denegar la entrega de ese tráfico. |
Con un túnel VPN basado en políticas, puede considerar un túnel como un elemento en la construcción de una política. |
|
Las VPN basadas en rutas son compatibles con TDR para interfaces st0. |
Las VPN basadas en políticas no se pueden usar si se requiere TDR para el tráfico tunelado. |
El ID de proxy se admite para VPN basadas en rutas y políticas. Los túneles basados en rutas también ofrecen el uso de varios selectores de tráfico, también conocidos como ID de varios proxys. Un selector de tráfico es un acuerdo entre pares de ICR para permitir el tráfico a través de un túnel, si el tráfico coincide con un par especificado de prefijo de dirección IP local y remota, rango de puerto de origen, rango de puerto de destino y protocolo. Se define un selector de tráfico dentro de una VPN basada en rutas específica, lo que puede dar lugar a varias SA de IPsec de fase 2. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. El selector de tráfico suele ser necesario cuando los dispositivos de puerta de enlace remota no son dispositivos de Juniper Networks.
Las VPN basadas en políticas solo se admiten en las líneas SRX5400, SRX5600 y SRX5800. La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.
Consulte también
Comparación de VPN basadas en políticas y VPN basadas en rutas
Tabla 2 resume las diferencias entre las VPN basadas en políticas y las VPN basadas en rutas.
VPN basadas en políticas |
VPN basadas en rutas |
|---|---|
En las VPN basadas en políticas, un túnel se trata como un objeto que, junto con el origen, el destino, la aplicación y la acción, constituye una política de túnel que permite el tráfico de VPN. |
En las VPN basadas en rutas, una política no hace referencia específicamente a un túnel VPN. |
Una política de túnel hace referencia específicamente a un túnel VPN por su nombre. |
Una ruta determina qué tráfico se envía a través del túnel según una dirección IP de destino. |
La cantidad de túneles VPN basados en políticas que puede crear está limitada por la cantidad de túneles que admite el dispositivo. |
La cantidad de túneles VPN basados en rutas que crea está limitada por la cantidad de interfaces st0 (para VPN de punto a punto) o la cantidad de túneles que admite el dispositivo, la que sea menor. |
Con una VPN basada en políticas, aunque puede crear varias políticas de túnel que hacen referencia al mismo túnel VPN, cada par de políticas de túnel crea una SA IPsec individual con el par remoto. Cada SA cuenta como un túnel VPN individual. |
Dado que la ruta, no la política, determina qué tráfico pasa por el túnel, se pueden admitir varias políticas con una sola SA o VPN. |
En una VPN basada en políticas, la acción debe permitirse y debe incluir un túnel. |
En una VPN basada en rutas, la regulación del tráfico no está acoplada a los medios de su entrega. |
El intercambio de información de enrutamiento dinámico no se admite en VPN basadas en políticas. |
Las VPN basadas en rutas admiten el intercambio de información de enrutamiento dinámico a través de túneles VPN. Puede habilitar una instancia de un protocolo de enrutamiento dinámico, como OSPF, en una interfaz st0 que está enlazada a un túnel VPN. |
Si necesita más granularidad que la que puede proporcionar una ruta para especificar el tráfico enviado a un túnel, la mejor opción es usar una VPN basada en políticas con políticas de seguridad. |
Las VPN basadas en rutas usan rutas para especificar el tráfico enviado a un túnel; una política no hace referencia específicamente a un túnel VPN. |
Con un túnel VPN basado en políticas, puede considerar un túnel como un elemento en la construcción de una política. |
Cuando el dispositivo de seguridad realiza una búsqueda de ruta para encontrar la interfaz a través de la cual debe enviar tráfico para llegar a una dirección, encuentra una ruta a través de una interfaz de túnel seguro (st0). Con un túnel VPN basado en rutas, puede considerar un túnel como un medio para entregar tráfico y puede considerar la política como un método para permitir o denegar la entrega de ese tráfico. |
Descripción del procesamiento de paquetes de ICR e IPsec
Un túnel VPN IPsec consta de configuración de túnel y seguridad aplicada. Durante la configuración del túnel, los pares establecen asociaciones de seguridad (SA), que definen los parámetros para proteger el tráfico entre ellos. (Ver Descripción general de IPsec.) Después de establecer el túnel, IPsec protege el tráfico enviado entre los dos puntos de conexión de túnel mediante la aplicación de los parámetros de seguridad definidos por las SA durante la configuración del túnel. En la implementación de Junos OS, IPsec se aplica en modo de túnel, que admite los protocolos Carga de seguridad de encapsulación (ESP) y encabezado de autenticación (AH).
Este tema incluye las siguientes secciones:
Procesamiento de paquetes en modo de túnel
IPsec funciona en uno de dos modos: transporte o túnel. Cuando ambos extremos del túnel son hosts, puede usar cualquiera de los modos. Cuando al menos uno de los puntos de conexión de un túnel es una puerta de enlace de seguridad, como un enrutador o firewall de Junos OS, debe usar el modo de túnel. Los dispositivos de Juniper Networks siempre funcionan en modo de túnel para túneles IPsec.
En el modo de túnel, todo el paquete IP original (carga y encabezado) se encapsula dentro de otra carga IP y se anexa un nuevo encabezado, como se muestra en Figura 1. El paquete original completo se puede cifrar, autenticar o ambos. Con el protocolo encabezado de autenticación (AH), el AH y los encabezados nuevos también se autentican. Con el protocolo Carga de seguridad de encapsulación (ESP), el encabezado ESP también se puede autenticar.
En una VPN de sitio a sitio, las direcciones de origen y destino utilizadas en el nuevo encabezado son las direcciones IP de la interfaz de salida. Consulte Figura 2.
En una VPN de marcado, no hay ninguna puerta de enlace de túnel en el extremo del túnel del cliente de marcado VPN; el túnel se extiende directamente al propio cliente (consulte Figura 3). En este caso, en los paquetes enviados desde el cliente de marcado, tanto el encabezado nuevo como el original encapsulado tienen la misma dirección IP: la del equipo del cliente.
Algunos clientes VPN, como el cliente VPN dinámico y Netscreen-Remote, usan una dirección IP interna virtual (también llamada "dirección adhesiva"). Netscreen-Remote le permite definir la dirección IP virtual. El cliente VPN dinámico usa la dirección IP virtual asignada durante el intercambio de configuración de XAuth. En tales casos, la dirección IP interna virtual es la dirección IP de origen en el encabezado del paquete original del tráfico que se origina en el cliente, y la dirección IP que el ISP asigna dinámicamente al cliente de marcado es la dirección IP de origen en el encabezado externo. A partir de la versión 21.4R1 de Junos OS vpn dinámica no se admite en dispositivos SRX300, SRX320, SRX340, SRX345, SRX380 y SRX550 HM.
Consulte también
Distribución de sesiones de ICR e IPsec en SPU
En los dispositivos SRX5400, SRX5600 y SRX5800, IKE proporciona administración de túneles para IPsec y autentica las entidades finales. IKE realiza un intercambio de claves Diffie-Hellman (DH) para generar un túnel IPsec entre dispositivos de red. Los túneles IPsec generados por IKE se utilizan para cifrar, descifrar y autenticar el tráfico de usuario entre los dispositivos de red en la capa IP.
La VPN se crea mediante la distribución de la carga de trabajo de ICR e IPsec entre las varias unidades de procesamiento de servicios (SPU) de la plataforma. Para túneles de sitio a sitio, la SPU menos cargada se elige como SPU de anclaje. Si varias SPU tienen la misma carga más pequeña, cualquiera de ellas se puede elegir como SPU de anclaje. Aquí, la carga corresponde a la cantidad de puertas de enlace de sitio a sitio o túneles VPN manuales anclados en una SPU. En el caso de los túneles dinámicos, los túneles dinámicos recién establecidos emplean un algoritmo de rotación para seleccionar la SPU.
En IPsec, la carga de trabajo se distribuye mediante el mismo algoritmo que distribuye el IKE. La SA de fase 2 para un par de puntos de terminación de túnel VPN determinado es propiedad exclusiva de una SPU en particular, y todos los paquetes IPsec que pertenecen a esta SA de fase 2 se reenvían a la SPU de anclaje de esa SA para el procesamiento de IPsec.
Varias sesiones IPsec (SA de fase 2) pueden funcionar en una o más sesiones de IKE. La SPU que se selecciona para anclar la sesión IPsec se basa en la SPU que ancla la sesión IKE subyacente. Por lo tanto, todas las sesiones de IPsec que se ejecutan en una sola puerta de enlace de IKE reciben servicio de la misma SPU y no tienen equilibrio de carga en varias SPU.
Tabla 3 muestra un ejemplo de una línea SRX5000 con tres SPU que ejecutan siete túneles IPsec en tres puertas de enlace IKE.
SPU |
Puerta de enlace de ICR |
Túnel IPsec |
|---|---|---|
SPU0 |
ICR-1 |
IPsec-1 |
IPsec-2 |
||
IPsec-3 |
||
SPU1 |
ICR-2 |
IPsec-4 |
IPsec-5 |
||
IPsec-6 |
||
SPU2 |
ICR-3 |
IPsec-7 |
Las tres SPU tienen una carga igual de una puerta de enlace IKE cada una. Si se crea una nueva puerta de enlace IKE, se puede seleccionar SPU0, SPU1 o SPU2 para anclar la puerta de enlace de IKE y sus sesiones IPsec.
La configuración y el derribo de túneles IPsec existentes no afectan a la sesión de IKE subyacente ni a los túneles IPsec existentes.
Utilice el siguiente show comando para ver el recuento actual de túneles por SPU: show security ike tunnel-map.
Utilice la summary opción del comando para ver los puntos de anclaje de cada puerta de enlace: show security ike tunnel-map summary.
Compatibilidad con VPN para insertar tarjetas de procesamiento de servicios
Los dispositivos SRX5400, SRX5600 y SRX5800 tienen una arquitectura de procesador distribuido basada en chasis. La potencia de procesamiento de flujo se comparte y se basa en la cantidad de tarjetas de procesamiento de servicios (SPC). Puede escalar la potencia de procesamiento del dispositivo instalando nuevas SPC.
En un clúster de chasis SRX5400, SRX5600 o SRX5800, puede insertar nuevas SPC en los dispositivos sin afectar ni interrumpir el tráfico en los túneles VPN IKE o IPsec existentes. Cuando se inserta una nueva SPC en cada chasis del clúster, los túneles existentes no se ven afectados y el tráfico sigue fluyendo sin interrupciones.
A partir de Junos OS versión 19.4R1, en todos los clústeres de chasis de línea SRX5000, puede insertar una nueva tarjeta SRX5K-SPC3 (SPC3) o SRX5K-SPC-4-15-320 (SPC2) en un chasis existente que contenga una tarjeta SPC3. Solo puede insertar las tarjetas en una ranura más alta que la tarjeta SPC3 existente en el chasis. Debe reiniciar el nodo después de insertar la SPC3 para activar la tarjeta. Una vez completado el reinicio del nodo, los túneles IPsec se distribuyen a las tarjetas.
Sin embargo, los túneles existentes no pueden usar la potencia de procesamiento de las unidades de procesamiento de servicio (SPU) en las nuevas SPC. Una nueva SPU puede anclar túneles dinámicos y de sitio a sitio recién establecidos. Sin embargo, no se garantiza que los túneles recién configurados se anclarán a una nueva SPU.
Los túneles de sitio a sitio se anclan en diferentes SPU según un algoritmo de equilibrio de carga. El algoritmo de equilibrio de carga depende de los subprocesos de flujo numérico que utilice cada SPU. Los túneles que pertenecen a las mismas direcciones IP de puerta de enlace local y remota se anclan a la misma SPU en diferentes subprocesos de flujo RT utilizados por la SPU. La SPU con la carga más pequeña se elige como la SPU de anclaje. Cada SPU mantiene una cantidad de subprocesos de flujo RT que se alojan en esa SPU en particular. La cantidad de subprocesos de flujo RT alojados en cada SPU varía según el tipo de SPU.
Factor de carga de túnel = Número de túneles anclados en la SPU / Número total de subprocesos de flujo RT utilizados por la SPU.
Los túneles dinámicos se anclan en diferentes SPU según un algoritmo de rotación. No se garantiza que los túneles dinámicos recién configurados estén anclados en la nueva SPC.
A partir de Junos OS versión 18.2R2 y 18.4R1, todas las funciones VPN IPsec existentes que actualmente se admiten en SRX5K-SPC3 (SPC3) solo se admitirán en dispositivos SRX5400, SRX5600 y SRX5800 cuando las tarjetas SRX5K-SPC-4-15-320 (SPC2) y SPC3 se instalan y operan en el dispositivo en un modo de clúster de chasis o en un modo independiente.
Cuando se instalan tarjetas SPC2 y SPC3, puede comprobar la asignación de túnel en diferentes SPU mediante el show security ipsec tunnel-distribution comando.
Utilice el comando show security ike tunnel-map para ver la asignación de túnel en diferentes SPU con solo la tarjeta SPC2 insertada. El comando show security ike tunnel-map no es válido en un entorno en el que las tarjetas SPC2 y SPC3 están instaladas.
Inserción de la tarjeta SPC3: Pautas y limitaciones:
-
En un clúster de chasis, si uno de los nodos tiene 1 tarjeta SPC3 y el otro nodo tiene 2 tarjetas SPC3, no se admite la conmutación por error al nodo que tiene 1 tarjeta SPC3.
-
Debe insertar las SPC3 o SPC2 en un chasis existente en una ranura más alta que una SPC3 actual presente en una ranura inferior.
-
Para que SPC3 ISHU funcione, debe insertar la nueva tarjeta SPC3 en el número de ranura superior.
-
En el clúster de chasis SRX5800, no debe insertar la tarjeta SPC3 en la ranura más alta (ranura n.º 11) debido al límite de alimentación y distribución de calor.
-
No admitemos la eliminación en caliente de SPC3.
Tabla 4 resume la línea SRX5000 con tarjeta SPC2 o SPC3 que admite kmd o iked procesa:
|
Línea SRX5000 |
Soporte para |
|---|---|
|
Línea SRX5000 con solo tarjeta SPC2 instalada |
Admite el |
|
Línea SRX5000 con solo tarjeta SPC3 instalada |
Admite el |
|
Línea SRX5000 con tarjeta SPC2 y SPC3 instalada |
Admite el |
Consulte también
Soporte de aceleración criptográfica en la tarjeta SRX5K-SPC3, las plataformas SRX de rango medio y el firewall virtual vSRX
La línea SRX5000 con tarjeta SRX5K-SPC3 (tarjeta de procesamiento de servicios), plataformas de rango medio SRX (firewalls serie SRX4100, SRX4200, SRX1500 y SRX4600) y firewall virtual vSRX requiere junos-ike un paquete como software de plano de control para instalar y habilitar funciones VPN IPsec.
-
En la línea SRX5000 con RE3, de forma predeterminada,
junos-ikeel paquete se instala en las versiones 20.1R2, 20.2R2, 20.3R2, 20.4R1 y posteriores de Junos OS. Como resultado, iked y ikemd el proceso se ejecuta en el motor de enrutamiento de forma predeterminada en lugar del demonio de administración de claves IPsec (kmd). La línea SRX5000 con SRX5K-SPC3 descarga las operaciones criptográficas al motor criptográfico de hardware. -
Las plataformas de rango medio SRX que cubren los firewalls serie SRX1500, SRX4100, SRX4200 y SRX4600, descargan las operaciones criptográficas DH, ECDH y ECDSA al motor criptográfico de hardware con dispositivos que ejecutan
junos-ikesoftware. Esta función está disponible en la versión 23.2R1 de Junos OS y los dispositivos tienenjunos-ikeel paquete instalado. Los dispositivos que siguen ejecutando software heredado iked (proceso kmd) no admiten esta función. -
En el firewall virtual vSRX, el subproceso de CPU del plano de datos descarga las operaciones de DH, ECDH, RSA y ECDSA. La aceleración de hardware no está disponible en estos dispositivos. Esta función está disponible en la versión 23.2R1 de Junos OS con
junos-ikeel paquete instalado en el dispositivo.
Para instalar el paquete de Junos IKE en el firewall de la serie SRX, utilice el siguiente comando:
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
Para usar kmd el proceso con el fin de habilitar las funciones VPN IPsec en la línea SRX5000 sin una tarjeta SPC3, debe ejecutar el request system software delete junos-ike comando. Después de ejecutar el comando, reinicie el dispositivo.
Para comprobar el paquete instalado junos-ike , utilice el siguiente comando:
user@host> show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]
JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
Consulte también
Compatibilidad con la función VPN IPsec en la línea SRX5000 con instancias de firewall virtual SRX5K-SPC3 y vSRX con un nuevo paquete
En este tema, se proporciona un resumen de las características y configuraciones de VPN IPsec que no se admiten de la línea SRX5000 con SRX5K-SPC3 y en instancias del firewall virtual vSRX.
La función VPN IPsec es compatible con dos procesos, iked y ikemd en las instancias de firewall virtual SRX5K-SPC3 y vSRX. Una sola instancia de iked y ikemd se ejecutará en el motor de enrutamiento a la vez.
De forma predeterminada, Junos-ike el paquete se instala en junos OS versiones 20.1R2, 20.2R2, 20.3R2, 20.4R1 y posteriores para la línea SRX5000 con RE3, y tanto el proceso como el ikedikemd proceso se ejecutan en el motor de enrutamiento.
Para reiniciar ikemd el proceso en el motor de rutina, utilice el restart ike-config-management comando.
Para reiniciar iked el proceso en el motor de enrutamiento, utilice el restart ike-key-management comando.
Si desea utilizar kmd el proceso para habilitar las funciones de VPN IPsec en la línea SRX5000 sin una tarjeta SRX5K-SPC3, debe ejecutar el request system software delete junos-ike comando. Después de ejecutar el comando, debe reiniciar el dispositivo.
Funciones vpn IPsec no compatibles
Para determinar si una función es compatible con una plataforma específica o una versión de Junos OS, consulte el Explorador de funciones.
Tabla 5 resume las funciones de VPN IPsec no compatibles en los firewalls serie SRX y el firewall virtual vSRX que se ejecuta el proceso de iked:
|
Características |
Soporte en la línea SRX5000 con instancias de firewall virtual SRX5K-SPC3 y vSRX |
|---|---|
|
VPN de descubrimiento automático (ADVPN). |
No |
|
Modo punto a multipunto de multidifusión independiente de protocolo (PIM) de AutoVPN. |
No |
|
Configuración de clase de reenvío en VPN IPsec. |
No |
|
Conmutación por error de puerta de enlace de detección de pares muertos (DPD). |
La conmutación por error de puerta de enlace DPD no se admite en el firewall virtual vSRX. |
|
VPN de grupo. |
No |
|
Vida útil de SA ICR, en kilobytes. |
No |
|
Configuración del tamaño de paquete para la verificación de ruta de datos de IPsec. |
No |
|
VPN IPsec basada en políticas. |
No |
|
Monitoreo de VPN. |
No |
Compatibilidad con protocolos de enrutamiento en túneles VPN IPsec
Somos compatibles con protocolos de enrutamiento como OSPF, BGP, PIM, RIP y BFD para ejecutarse en túneles IPsec en firewalls serie SRX y enrutadores serie MX en ejecución kmd o iked proceso. La compatibilidad de protocolo varía según el esquema de direccionamiento IP o el tipo de interfaz st0, punto a punto (P2P) o punto a multipunto (P2MP).
Tabla 6 resume la compatibilidad del protocolo OSPF en firewalls de la serie SRX y enrutadores MX.
| OSPF | ||||
|---|---|---|---|---|
| Dispositivos | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 y SRX5K-SPC2 | Sí | No | Sí | No |
| SRX5K-SPC3 | Sí | No | Sí | No |
| SRX5K en modo mixto (SPC3 + SPC2) | Sí | No | Sí | No |
| Firewall virtual vSRX 3.0 | Sí | No | Sí | No |
| MX-SPC3 | Sí | No | No | No |
Tabla 7 resume la compatibilidad del protocolo OSPFv3 en firewalls de la serie SRX y enrutadores MX.
| OSPFv3 | ||||
|---|---|---|---|---|
| Dispositivos | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 y SRX5K-SPC2 | No | Sí | No | Sí |
| SRX5K-SPC3 | No | Sí | No | Sí |
| SRX5K en modo mixto (SPC3 + SPC2) | No | Sí | No | Sí |
| Firewall virtual vSRX 3.0 | No | Sí | No | Sí |
| MX-SPC3 | No | Sí | No | No |
Tabla 8 resume la compatibilidad del protocolo BGP en firewalls de la serie SRX y enrutadores MX.
| BGP | ||||
|---|---|---|---|---|
| Dispositivos | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 y SRX5K-SPC2 | Sí | Sí | Sí | Sí |
| SRX5K-SPC3 | Sí | Sí | Sí | Sí |
| SRX5K en modo mixto (SPC3 + SPC2) | Sí | Sí | Sí | Sí |
| Firewall virtual vSRX 3.0 | Sí | Sí | Sí | Sí |
| MX-SPC3 | Sí | Sí | No | No |
Tabla 9 resume la compatibilidad del protocolo PIM en firewalls de la serie SRX y enrutadores MX.
| PIM | ||||
|---|---|---|---|---|
| Dispositivos | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX550, SRX550 HM, SRX650, SRX1400, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 y SRX5K-SPC2 | Sí | No | No | No |
| SRX300, SRX320, SRX340, SRX345, SRX380 y SRX1500 | Sí | No | Sí | No |
| SRX5K-SPC3 | Sí | No | No | No |
| SRX5K en modo mixto (SPC3 + SPC2) | Sí | No | No | No |
| Firewall virtual vSRX | Sí | No | Sí Nota:
No se admite multiproceso. |
No |
| MX-SPC3 | Sí | No | No | No |
Tabla 10 resume la compatibilidad del protocolo RIP en firewalls de la serie SRX y enrutadores MX.
| RIP | ||||
|---|---|---|---|---|
| Dispositivos | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 y SRX5K-SPC2 | Sí | Sí | No | No |
| SRX5K-SPC3 | Sí | Sí | No | No |
| SRX5K en modo mixto (SPC3 + SPC2) | Sí | Sí | No | No |
| Firewall virtual vSRX 3.0 | Sí | Sí | No | No |
| MX-SPC3 | Sí | Sí | No | No |
Tabla 11 resume la compatibilidad del protocolo BFP en firewalls de la serie SRX y enrutadores MX.
| BFD | ||||
|---|---|---|---|---|
| Dispositivos | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 y SRX5K-SPC2 | Sí | Sí | Sí | Sí |
| SRX5K-SPC3 | Sí | Sí | Sí | Sí |
| SRX5K en modo mixto (SPC3 + SPC2) | Sí | Sí | Sí | Sí |
| Firewall virtual vSRX 3.0 | Sí | Sí | Sí | Sí |
| MX-SPC3 | Sí | Sí | No | No |
Ventana anti-reproducción
En firewalls serie SRX, anti-replay-window está habilitado de forma predeterminada con un valor de tamaño de ventana de 64.
En la línea SRX Series 5000 con tarjetas SPC3 instaladas, puede configurar el anti-replay-window tamaño en el rango de 64 a 8192 (potencia de 2). Para configurar el tamaño de ventana, utilice la nueva anti-replay-window-size opción. Un paquete entrante se valida para un ataque de repetición basado en el anti-replay-window-size que está configurado.
Puede configurar replay-window-size en dos niveles diferentes:
-
Global level— Configurado en el nivel de jerarquía [
edit security ipsec].Por ejemplo:
[edit security ipsec] user@host# set anti-replay-window-size <64..8192>;
-
VPN object— Configurado en el nivel de jerarquía [
edit security ipsec vpn vpn-name ike].Por ejemplo:
[edit security ipsec vpn vpn-name ike] user@host# set anti-replay-window-size <64..8192>;
Si la anti-reproducción está configurada en ambos niveles, el tamaño de ventana configurado para un nivel de objeto VPN tiene prioridad sobre el tamaño de ventana configurado en el nivel global. Si la anti-reproducción no está configurada, el tamaño de la ventana es 64 de forma predeterminada.
Para deshabilitar la opción de ventana de anti-reproducción en un objeto VPN, utilice el set no-anti-replay comando en el nivel de jerarquía [edit security ipsec vpn vpn-name ike]. No puede deshabilitar la anti-reproducción a nivel global.
No puede configurar tanto en anti-replay-window-sizeno-anti-replay un objeto VPN como en él.
Consulte también
Descripción de VPN radiales
Si crea dos túneles VPN que terminan en un dispositivo, puede configurar un par de rutas para que el dispositivo dirija el tráfico que sale de un túnel hacia el otro túnel. También debe crear una política para permitir que el tráfico pase de un túnel a otro. Esta disposición se conoce como VPN radial. (Ver Figura 4.)
También puede configurar varias VPN y enrutar el tráfico entre dos túneles cualquiera.
Los firewalls serie SRX solo admiten la función radial basada en rutas.
Consulte también
junos-ike el paquete se instala en las versiones 20.1R2, 20.2R2, 20.3R2, 20.4R1 y posteriores de Junos OS para la línea SRX5000 con RE3. Como resultado iked , y ikemd el proceso se ejecuta en el motor de enrutamiento de forma predeterminada en lugar del demonio de administración de claves IPsec (kmd).