Descripción general del VPN IPsec
Lea este tema para obtener información sobre el procesamiento de paquetes IKE e IPsec, y las topologías VPN IPsec en firewalls serie SRX. Obtenga información sobre las tarjetas de procesamiento de servicios, la aceleración criptográfica, la compatibilidad con protocolos de enrutamiento y la compatibilidad conprocesosiked.
Una VPN es una red privada que usa una red pública para conectar dos o más sitios remotos. En lugar de usar conexiones exclusivas entre redes, las VPN usan conexiones virtuales enrutadas (de túnel) mediante redes públicas. El VPN IPsec es un protocolo que consta de un conjunto de estándares que se usan para establecer una conexión VPN.
Una VPN proporciona un medio mediante el cual los equipos remotos se comunican de forma segura a través de una WAN pública, como Internet.
Una conexión VPN puede enlazar dos LAN (VPN de sitio a sitio) o un usuario de marcado remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos tales como enrutadores, conmutadores y otros equipos de red que forman la WAN pública. Para proteger la comunicación VPN mientras se pasa a través de la WAN, los dos participantes crean un túnel IPsec.
El término túnel no denota modo túnel (consulte Procesamiento de paquetes en modo túnel). En su lugar, hace referencia a la conexión IPsec.
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Revise la Comportamiento de VPN IPsec específico de la plataforma sección para obtener notas relacionadas con su plataforma.
Consulte la Información adicional de la plataforma sección para obtener más información.
Topologías VPN IPsec en firewalls serie SRX
A continuación, se muestran algunas de las topologías VPN de IPsec compatibles con el sistema operativo (OS) Junos:
VPN de sitio a sitio: conecta dos sitios de una organización y permite comunicaciones seguras entre los sitios.
VPN radiales: conectan las sucursales a la oficina corporativa en una red empresarial. También puede utilizar esta topología para conectar radios entre sí mediante el envío de tráfico a través del concentrador.
VPN de acceso remoto: permite que los usuarios que trabajan en casa o que viajan se conecten a la oficina corporativa y a sus recursos. Esta topología a veces se denomina end-to-site tunnel.
Consulte también
Comparación de VPN basadas en políticas y basadas en rutas
Lea este tema para comprender las diferencias entre las VPN basadas en políticas y las basadas en rutas.
Es importante comprender las diferencias entre las VPN basadas en políticas y basadas en rutas, y por qué una puede ser preferible a la otra.
Tabla 1 enumera las diferencias entre las VPN basadas en rutas y las VPN basadas en políticas.
|
VPN basadas en ruta |
VPN basadas en políticas |
|---|---|
|
Con las VPN basadas en rutas, una política no hace referencia específicamente a un túnel VPN. |
Con los túneles VPN basados en políticas, un túnel se trata como un objeto que, junto con el origen, el destino, la aplicación y la acción, constituye una política de túnel que permite el tráfico VPN. |
|
La directiva hace referencia a una dirección de destino. |
En una configuración de VPN basada en políticas, una política de túnel hace referencia específicamente a un túnel VPN por nombre. |
|
El número de túneles VPN basados en rutas que cree estará limitado por el número de entradas de ruta o el número de interfaces st0 admitidas por el dispositivo, el número que sea menor. |
El número de túneles VPN basados en políticas que puede crear está limitado por el número de directivas admitidas por el dispositivo. |
|
La configuración de túnel VPN basada en rutas es una buena opción cuando desea conservar los recursos del túnel mientras establece restricciones granulares en el tráfico VPN. |
Con una VPN basada en políticas, aunque puede crear varias políticas de túnel que hagan referencia al mismo túnel VPN, cada par de políticas de túnel crea una asociación de seguridad (SA) IPsec individual con el par remoto. Cada SA cuenta como un túnel VPN individual. |
|
Con un enfoque basado en rutas para las VPN, la regulación del tráfico no está acoplada a los medios de su entrega. Puede configurar docenas de directivas para regular el tráfico que fluye a través de un único túnel VPN entre dos sitios, y solo hay una SA IPsec en funcionamiento. Además, una configuración de VPN basada en rutas le permite crear políticas que hagan referencia a un destino al que se llega a través de un túnel VPN en el que la acción es denegar. |
En una configuración VPN basada en políticas, la acción debe permitirse y debe incluir un túnel. |
|
Las VPN basadas en ruta admiten el intercambio de información de enrutamiento dinámico a través de túneles VPN. Puede habilitar una instancia de un protocolo de enrutamiento dinámico, como OSPF, en una interfaz st0 que esté enlazada a un túnel VPN. |
El intercambio de información de enrutamiento dinámico no se admite en las VPN basadas en políticas. |
|
Las configuraciones basadas en rutas se utilizan para las topologías radiales. |
Las VPN basadas en políticas no se pueden usar para topologías radiales. |
|
Con las VPN basadas en rutas, una política no hace referencia específicamente a un túnel VPN. |
Cuando un túnel no conecta redes grandes que ejecutan protocolos de enrutamiento dinámico y no es necesario conservar túneles ni definir varias políticas para filtrar el tráfico a través del túnel, la mejor opción es un túnel basado en políticas. |
|
Las VPN basadas en ruta no admiten configuraciones de VPN de acceso remoto (acceso telefónico). |
Los túneles VPN basados en políticas son necesarios para las configuraciones de VPN de acceso remoto (acceso telefónico). |
|
Es posible que las VPN basadas en rutas no funcionen correctamente con algunos proveedores externos. |
Es posible que se requieran VPN basadas en políticas si el tercero requiere SA independientes para cada subred remota. |
|
Cuando el dispositivo de seguridad realiza una búsqueda de ruta para encontrar la interfaz a través de la cual debe enviar tráfico para llegar a una dirección, encuentra una ruta a través de una interfaz de túnel seguro ( Con un túnel de VPN basado en rutas, puede considerar un túnel como un medio para entregar el tráfico y puede considerar la política como un método para permitir o denegar la entrega de ese tráfico. |
Con un túnel VPN basado en políticas, puede considerar un túnel como un elemento en la construcción de una política. |
|
Las VPN basadas en rutas admiten NAT para interfaces st0. |
Las VPN basadas en políticas no se pueden usar si se requiere NAT para el tráfico tunelizado. |
El ID de proxy es compatible con VPN basadas en rutas y en políticas. Los túneles basados en rutas también ofrecen el uso de múltiples selectores de tráfico, también conocidos como ID de proxy múltiple. Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel, si el tráfico coincide con un par especificado de prefijo de dirección IP local y remota, intervalo de puertos de origen, intervalo de puertos de destino y protocolo. Puede definir un selector de tráfico dentro de una VPN basada en ruta específica, lo que puede dar lugar a varias SA IPsec de fase 2. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. El selector de tráfico suele ser necesario cuando los dispositivos de puerta de enlace remota no son dispositivos de Juniper Networks.
Consulte también
Comparación de VPN basadas en políticas y VPN basadas en ruta
Tabla 2 resume las diferencias entre las VPN basadas en políticas y las VPN basadas en ruta.
VPN basadas en políticas |
VPN basadas en ruta |
|---|---|
En las VPN basadas en políticas, un túnel se aborda como un objeto que, junto con el origen, el destino, la aplicación y la acción, constituye una política de túnel que permite el tráfico de VPN. |
En las VPN basadas en ruta, una política no hace referencia específicamente a un túnel VPN. |
Una política de túnel hace referencia específicamente a un túnel VPN por nombre. |
Una ruta determina qué tráfico se envía a través del túnel según una dirección IP de destino. |
La cantidad de túneles VPN basados en políticas que puede crear está limitada por la cantidad de túneles admitidos por el dispositivo. |
La cantidad de túneles VPN basados en rutas que puede crear está limitada por la cantidad de interfaces st0 (para VPN de punto a punto) o la cantidad de túneles admitidos por el dispositivo, la opción que tenga el menor valor. |
Con una VPN basada en políticas, aunque puede crear varias políticas de túnel que hagan referencia al mismo túnel de VPN, cada par de políticas de túnel creará una SA de IPsec individual con el par remoto. Cada SA cuenta como un túnel VPN individual. |
Dado que la ruta, no la política, determina qué tráfico pasa por el túnel, es posible que se admitan varias políticas con una sola SA o VPN. |
En una VPN basada en políticas, la acción se debe permitir y debe incluir un túnel. |
En una VPN basada en ruta, la regulación del tráfico no se asocia con los medios de su entrega. |
El intercambio de información de enrutamiento dinámico no se admite en las VPN basadas en políticas. |
Las VPN basadas en ruta admiten el intercambio de información de enrutamiento dinámico a través de túneles VPN. Puede habilitar una instancia de un protocolo de enrutamiento dinámico, como OSPF, en una interfaz st0 que esté enlazada a un túnel VPN. |
Si necesita más granularidad que la que puede proporcionar una ruta para especificar el tráfico que se envía a un túnel, la mejor opción es usar una VPN basada en políticas con políticas de seguridad. |
Las VPN basadas en ruta utilizan rutas para especificar el tráfico que se envía a un túnel; una política no hace referencia específicamente a un túnel VPN. |
Con un túnel VPN basado en políticas, puede considerar un túnel como un elemento en la construcción de una política. |
Cuando el dispositivo de seguridad realiza una búsqueda de ruta para encontrar la interfaz a través de la cual debe enviar tráfico para comunicarse con una dirección, encuentra una ruta a través de una interfaz de túnel seguro (st0). Con un túnel de VPN basado en rutas, puede considerar un túnel como un medio para entregar el tráfico y puede considerar la política como un método para permitir o denegar la entrega de ese tráfico. |
Descripción del procesamiento de paquetes de IKE e IPsec
Un túnel VPN de IPsec se compone de la configuración de túneles y la seguridad aplicada. Durante la instalación de túneles, los pares establecen asociaciones de seguridad (SA), las cuales definen los parámetros para proteger el tráfico entre ellos. Consulte Descripción general de IPsec. Una vez establecido el túnel, IPsec protege el tráfico enviado entre los dos extremos del túnel aplicando los parámetros de seguridad definidos por las SA durante la configuración del túnel. Dentro de la implementación de Junos OS, IPsec se aplica en modo de túnel, el cual admite los protocolos Carga de seguridad de encapsulación (ESP) y Encabezado de autenticación (AH).
En este tema, se incluyen las siguientes secciones:
Procesamiento de paquetes en modo de túnel
IPsec funciona en uno de dos modos: transporte o túnel. Cuando ambos extremos del túnel son hosts, puede utilizar cualquiera de los modos. Cuando al menos uno de los puntos de conexión de un túnel es una puerta de enlace de seguridad, como un enrutador o firewall de Junos OS, debe utilizar el modo de túnel. Los dispositivos Juniper Networks funcionan siempre en modo de túnel para túneles IPsec.
En el modo de túnel, todo el paquete IP original (carga y encabezado) se encapsula dentro de otra carga IP y se le anexa un nuevo encabezado, como se muestra en Figura 1. El paquete original completo puede cifrarse, autenticarse o ambas cosas. Con el protocolo Encabezado de autenticación (AH), también se autentican el AH y los nuevos encabezados. Con el protocolo Carga de seguridad de encapsulación (ESP), también se puede autenticar el encabezado ESP.
En una VPN de sitio a sitio, las direcciones de origen y destino utilizadas en el nuevo encabezado son las direcciones IP de la interfaz de salida. Consulte Figura 2.
En una VPN de marcado, no existe una puerta de enlace de túnel en el extremo del túnel del cliente de marcado VPN; el túnel se extiende directamente al propio cliente (consulte Figura 3). En este caso, en los paquetes enviados desde el cliente de marcado, tanto el encabezado nuevo como el original encapsulado tienen la misma dirección IP: la del ordenador del cliente.
Algunos clientes VPN, como Netscreen-Remote , utilizan una dirección IP interna virtual (también llamada "dirección adhesiva"). NetScreen-Remote le permite definir la dirección IP virtual. En estos casos, la dirección IP interna virtual es la dirección IP de origen en el encabezado del paquete original del tráfico que se origina en el cliente, y la dirección IP que el ISP asigna dinámicamente al cliente de marcado es la dirección IP de origen en el encabezado exterior.
Consulte también
Distribución de sesiones de IKE e IPsec en SPU
Revise la Comportamiento de procesamiento de VPN de SPU específicas de la plataforma sección para obtener notas relacionadas con su plataforma.
En los firewalls de la serie SRX, IKE proporciona administración de túnel para IPsec y autentica a las entidades finales. IKE realiza un intercambio de claves Diffie-Hellman (DH) para generar un túnel IPsec entre los dispositivos de red. Los túneles IPsec generados por IKE se utilizan para cifrar, descifrar y autenticar el tráfico de usuario entre los dispositivos de red en la capa IP.
La VPN se crea mediante la distribución de la IKE y de la carga de trabajo de IPsec entre las distintas unidades de procesamiento de servicios (SPU) de la plataforma. En el caso de los túneles de sitio a sitio, la SPU con menor carga se elige como la SPU de ancla. Si varias SPU tienen la misma carga mínima, cualquiera de ellas puede elegirse como una SPU de ancla. En este caso, la carga corresponde a la cantidad de puertas de enlace de sitio a sitio o de túneles VPN manuales anclados en una SPU. En el caso de túneles dinámicos, los túneles dinámicos recién establecidos emplean un algoritmo de funcionamiento rotativo para seleccionar la SPU.
En IPsec, la carga de trabajo se distribuye con el mismo algoritmo que distribuye la IKE. La SA de fase 2 para un par de puntos de terminación de túnel de VPN determinado es propiedad exclusiva de una SPU en concreto, y todos los paquetes IPsec que pertenecen a esta SA de fase 2 se reenvían a la SPU de ancla de esa SA para el procesamiento de IPsec.
Varias sesiones de IPsec (SA de fase 2) pueden funcionar a través de una o más sesiones IKE. La SPU que se selecciona para anclar la sesión IPsec se basa en la SPU que ancla la sesión de IKE subyacente. Por lo tanto, todas las sesiones IPsec que se ejecutan en una sola puerta de enlace de IKE reciben servicio mediante la misma SPU y no tienen un equilibrio de carga en varias SPU.
Tabla 3 muestra un ejemplo del firewall con tres SPU que ejecutan siete túneles IPsec a través de tres puertas de enlace IKE.
|
SPU |
Puerta de enlace IKE |
Túnel IPsec |
|---|---|---|
|
SPU0 |
IKE-1 |
IPsec-1 |
|
IPsec-2 |
||
|
IPsec-3 |
||
|
SPU1 |
IKE-2 |
IPsec-4 |
|
IPsec-5 |
||
|
IPsec-6 |
||
|
SPU2 |
IKE-3 |
IPsec-7 |
Las tres SPUs tienen una carga igual de una puerta de enlace ICR cada uno. Si se crea una nueva puerta de enlace de IKE, puede seleccionar SPU0, SPU1 o SPU2 para anclar la puerta de enlace de IKE y sus sesiones IPsec.
La configuración y el desactivamiento de túneles IPsec existentes no afectan a la sesión de IKE subyacente ni a los túneles IPsec existentes.
Utilice el siguiente comando show para ver el recuento actual de túneles por SPU: show security ike tunnel-map.
Utilice la opción summary del comando para ver los puntos de anclaje de cada puerta de enlace: show security ike tunnel-map summary.
Compatibilidad de VPN para insertar tarjetas de procesamiento de servicios
Los firewalls de la serie SRX de gama alta tienen una arquitectura de procesador distribuido basada en chasis. La potencia de procesamiento de flujo se comparte y se basa en la cantidad de tarjetas de procesamiento de servicios (SPC). Puede escalar la potencia de procesamiento del dispositivo instalando nuevas SPC.
Revise la Comportamiento de la SPC de línea SRX5000 específica de la plataforma sección para obtener notas relacionadas con su plataforma.
Consulte la sección Información adicional de la plataforma para el proceso kmd e iked en SRX5000 Line para obtener más información.
En el clúster de chasis de la serie SRX de gama alta, puede insertar SPC en los dispositivos sin afectar ni interrumpir el tráfico en los túneles VPN de IPsec o IKE existentes.
Puedeinsertar tarjetas SPC3 o SPC2 en un chasis existente que contenga una tarjeta SPC3. Solo puede insertar las tarjetas en un área superior a la de la tarjeta SPC3 existente en el chasis.
Sin embargo, los túneles existentes no pueden usar la potencia de procesamiento de las unidades de procesamiento de servicio (SPU) en la nueva SPC. Una nueva SPU puede anclar túneles dinámicos y de sitio a sitio recién establecidos. Sin embargo, no se garantiza que los túneles recién configurados estén anclados a una nueva SPU.
Los túneles de sitio a sitio se anclan a diferentes SPU según un algoritmo de equilibrio de carga. El algoritmo de equilibrio de carga depende de los subprocesos de flujo de número que utiliza cada SPU. Los túneles que pertenecen a las mismas direcciones IP de puerta de enlace local y remota se anclan a la misma SPU con diferentes subprocesos de flujo RT utilizados por la SPU. La SPU con la carga más pequeña se elige como la SPU de ancla. Cada SPU mantiene una cantidad de subprocesos de flujo RT que se alojan en esa SPU en particular. El número de subprocesos de flujo RT alojados en cada SPU varía según el tipo de SPU.
Factor de carga de túnel = Cantidad de túneles anclados en la SPU / Cantidad total de subprocesos de flujo RT utilizados por la SPU.
Los túneles dinámicos se anclan en diferentes SPU según un algoritmo de operación rotativa. No se garantiza que los túneles recién configurados estén anclados a la nueva SPC.
Cuando se instalan tarjetas SPC2 y SPC3, puede comprobar la asignación de túnel en diferentes SPU mediante el comando show security ipsec tunnel-distribution.
Use el comando show security ike tunnel-map para ver la asignación de túnel en diferentes SPU con solo la tarjeta SPC2 insertada. El comando show security ike tunnel-map no es válido en un entorno en el cual hay tarjetas SPC2 y SPC3 instaladas.
Insertando la tarjeta SPC3: Directrices y limitaciones:
-
En un clúster de chasis, si uno de los nodos tiene una tarjeta SPC3 y el otro nodo tiene 2 tarjetas SPC3, no se admite la conmutación por error al nodo que tiene una tarjeta SPC3.
-
Debe insertar la SPC3 o la SPC2 en un chasis existente en una ranura más alta que una tarjeta SPC3 actual presente en una ranura inferior.
-
Para que SPC3 ISHU funcione, debe insertar la nueva tarjeta SPC3 en el número de la ranura superior.
-
No se admite la extracción de calor de SPC3.
Consulte también
VPN IPsec con proceso iked
Los dos procesos, iked e ikemd , admiten funciones VPN IPsec en firewalls serie SRX. Una sola instancia de iked e ikemd se ejecuta en el motor de enrutamiento a la vez.
Con junos-ike el paquete, el firewall ejecuta el servicio VPN IPsec mediante el proceso iked. El paquete de soporte junos-ike de firewalls de la serie SRX es de múltiples versiones.
Consulte la sección Información adicional de la plataforma para junos-ike soporte de paquetes para obtener más información.
Los procesos iked e ikemd que se ejecutan en el motor de enrutamiento están disponibles con el junos-ike paquete.
Para instalar el paquete en el junos-ike firewall de la serie SRX, utilice el siguiente comando:
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
Para reiniciar el proceso ikemd en el motor de rutina, utilice el restart ike-config-management comando.
Para reiniciar el proceso iked en el motor de enrutamiento, utilice el restart ike-key-management comando.
Si no se tienen en cuenta las versiones de lanzamiento de Junos OS especificadas al instalar el junos-ike paquete, es posible que las funciones no compatibles no funcionen como se esperaba.
Para operar las características de VPN IPsec mediante el proceso kmd heredado en firewalls de la serie SRX, ejecute el request system software delete junos-ike comando y reinicie el dispositivo.
Para comprobar el paquete junos-ike instalado, utilice el siguiente comando:
user@host> show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]
JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
Características de VPN IPsec no compatibles con el proceso iked
En esta sección se proporciona un resumen de las características de VPN IPsec que no son compatibles con los firewalls de la serie SRX.
Tabla 4 resume las funciones de VPN IPsec no compatibles en los firewalls de la serie SRX y el firewall virtual vSRX que ejecutan el procesoiked.
|
Características |
Disponibilidad de soporte |
|---|---|
|
Modo punto a multipunto de multidifusión de protocolo independiente (PIM) de AutoVPN. |
No. Pero la compatibilidad está disponible en vSRX 3.0 |
|
Configurar clase de reenvío en VPN IPsec. |
No |
|
VPN de grupo. |
No |
|
Configuración del tamaño de paquete para la comprobación de ruta de datos de IPsec. |
No |
|
VPN IPsec basada en políticas. |
No |
Soporte de aceleración criptográfica
Revise la sección Comportamiento de aceleración criptográfica específica de la plataforma para obtener notas relacionadas con su plataforma.
Consulte la sección Información adicional de la plataforma para la compatibilidad con la aceleración criptográfica para obtener más información.
Junos OS admite la aceleración de las operaciones criptográficas en el motor criptográfico de hardware. El firewall serie SRX puede descargar las operaciones criptográficas DH, RSA y ECDSA al motor criptográfico de hardware.
Con el paquete junos-ike, el firewall ejecuta el servicio VPN IPsec mediante el proceso iked. El firewall requiere el proceso iked como software del plano de control para instalar y habilitar las características avanzadas de VPN IPsec. Como resultado del paquete junos-ike, el firewall ejecuta el proceso iked e ikemd en el motor de enrutamiento de forma predeterminada en lugar del demonio de administración de claves IPsec (kmd).
Los firewalls admiten aceleración de hardware para varios cifrados.
Consulte también
Compatibilidad de protocolos de enrutamiento en túneles VPN IPsec
Consulte la sección , Tabla 13, Tabla 15Tabla 14Tabla 16, , y Tabla 17 en Información adicional de laTabla 12plataforma para obtener más información.
Junos OS admite protocolos de enrutamiento en túneles VPN IPsec con firewalls serie SRX y enrutadores serie MX con SPC3. Los protocolos admitidos incluyen OSPF, BGP, PIM, RIP y BFD cuando se ejecuta el proceso kmd o iked. La compatibilidad con protocolos varía en función de lo siguiente:
-
Esquema de direcciones IP: Direcciones IPv4 o IPv6
-
Tipo de interfaz st0: punto a punto (P2P) o punto a multipunto (P2MP)
Ventana anti-reproducción
Revise la Comportamiento de las ventanas antirreproducción específicas de la plataforma sección para obtener notas relacionadas con su plataforma.
En los firewalls de la serie SRX, anti-replay-window está habilitado de forma predeterminada con un valor de tamaño de ventana de 64.
Para configurar el tamaño de la ventana, utilice la nueva anti-replay-window-size opción. Un paquete entrante se valida para ataques de reproducción en función de lo anti-replay-window-size que está configurado.
Puede configurar replay-window-size en dos niveles diferentes:
-
Global level: configurado en el nivel de jerarquía [
edit security ipsec].Veamos algunos ejemplos:
[edit security ipsec] user@host# set anti-replay-window-size <64..8192>;
-
VPN object: configurado en el nivel de jerarquía [
edit security ipsec vpn vpn-name ike].Veamos algunos ejemplos:
[edit security ipsec vpn vpn-name ike] user@host# set anti-replay-window-size <64..8192>;
Si se configura la antirreproducción en ambos niveles, el tamaño de ventana configurado para un nivel de objeto VPN tiene prioridad sobre el tamaño de ventana configurado en el nivel global. Si la antirreproducción no está configurada, el tamaño de la ventana es 64 de forma predeterminada.
Para deshabilitar la opción de ventana antirreproducción en un objeto VPN, utilice el set no-anti-replay comando en el nivel de jerarquía [edit security ipsec vpn vpn-name ike]. No puede deshabilitar la antirreproducción a nivel global.
No puede configurar ambos anti-replay-window-size y no-anti-replay en un objeto VPN.
Consulte también
Descripción de VPN radiales
Si crea dos túneles VPN que terminan en un dispositivo, puede configurar un par de rutas para que el dispositivo dirija el tráfico que sale de un túnel hacia el otro túnel. También debe crear una política para permitir que el tráfico pase de un túnel al otro. Dicha disposición se conoce como VPN radial. (Consulte Figura 4.)
También puede configurar varias VPN y enrutar el tráfico entre dos túneles.
Los firewalls de la serie SRX solo admiten la función radial basada en rutas.
Consulte también
Comportamiento de VPN IPsec específico de la plataforma
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas.
Consulte la Información adicional de la plataforma sección para obtener más información.
Use las tablas siguientes para revisar los comportamientos específicos de la plataforma para sus plataformas.
- Comportamiento de procesamiento de VPN de SPU específicas de la plataforma
- Comportamiento de la SPC de línea SRX5000 específica de la plataforma
- Comportamiento de aceleración criptográfica específica de la plataforma
- Comportamiento de las ventanas antirreproducción específicas de la plataforma
Comportamiento de procesamiento de VPN de SPU específicas de la plataforma
| Plataforma | Diferencia |
|---|---|
| Serie SRX |
|
Comportamiento de la SPC de línea SRX5000 específica de la plataforma
| Plataforma | Diferencia |
|---|---|
| Serie SRX |
|
Comportamiento de aceleración criptográfica específica de la plataforma
| Plataforma | Diferencia |
|---|---|
| Serie SRX |
|
Comportamiento de las ventanas antirreproducción específicas de la plataforma
| Plataforma | Diferencia |
|---|---|
| Serie SRX |
|
Información adicional de la plataforma
Use el Explorador de características para confirmar la compatibilidad de la plataforma y el lanzamiento de características específicas. Plataformas adicionales pueden ser compatibles.
| Proceso soportado | Línea SRX5000 |
|---|---|
| Proceso IKED |
Admite dos opciones:
|
| Proceso KMD |
|
junos-ike Paquete |
SRX1500 | SRX1600SRX2300 | SRX4100SRX4200SRX4600 | SRX4300 | SRX4700 | Línea SRX5000 con SPC3 | vSRX 3.0 |
|---|---|---|---|---|---|---|---|
| Predeterminado | 25.2R1 y versiones posteriores | 23.4R1 y versiones posteriores | 25.2R1 y versiones posteriores | 24.2R1 y versiones posteriores |
24.4R1 y versiones posteriores |
19.4R1 y posteriores (para RE3) | 25.2R1 y versiones posteriores |
| Opcional | 22.3R1 y versiones posteriores | NA | 22.3R1 y versiones posteriores | NA | NA | 18.2R1 y posteriores (para RE2) | 20.3R1 y versiones posteriores |
| Cifras | SRX1500 (kmd) | SRX1500 (iked) | SRX4100SRX4200(kmd) | SRX4100SRX4200(iked) | SRX4600(kmd) | SRX4600(iked) | Línea SRX5000 con SPC3(iked) | vSRX 3.0(kmd) | vSRX 3.0(iked) |
|---|---|---|---|---|---|---|---|---|---|
| DH (Grupos 1, 2, 5, 14) | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| DH (Grupos 19, 20) | No | Sí | No | Sí | No | Sí | Sí | Sí | Sí |
| DH (Grupos 15, 16) | No | Sí | No | Sí | No | Sí | Sí | Sí | Sí |
| Grupo DH 21 | No | Sí | No | Sí | No | Sí | Sí | Sí | Sí |
| Grupo DH 24 | Sí | Sí | Sí | Sí | Sí | Sí | No | No | No |
| RSA | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| ECDSA (256, 384, 521) | No | Sí | No | Sí | No | Sí | Sí | Sí | Sí |
|
OSPF en VPN IPsec |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
Línea SRX5000 con SPC3Línea SRX5000 con SPC2 |
Línea SRX5000 con modo mixto (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
st0 en P2P |
Con dirección IPv4 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Con dirección IPv6 |
No |
No |
No |
No |
No |
No |
No |
No |
|
|
st0 en P2MP |
Con dirección IPv4 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Con dirección IPv6 |
No |
No |
No |
No |
No |
No |
No |
No |
|
|
OSPFv3 en VPN IPsec |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
Línea SRX5000 con SPC3Línea SRX5000 con SPC2 |
Línea SRX5000 con modo mixto (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
st0 en P2P |
Con dirección IPv4 |
No |
No |
No |
No |
No |
No |
No |
No |
|
Con dirección IPv6 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
|
st0 en P2MP |
Con dirección IPv4 |
No |
No |
No |
No |
No |
No |
No |
No |
|
Con dirección IPv6 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
|
BGP en VPN IPsec |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
Línea SRX5000 con SPC3Línea SRX5000 con SPC2 |
Línea SRX5000 con modo mixto (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
st0 en P2P |
Con dirección IPv4 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Con dirección IPv6 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
|
st0 en P2MP |
Con dirección IPv4 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
No |
|
Con dirección IPv6 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
No |
|
|
PIM en VPN IPsec |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
Línea SRX5000 con SPC3Línea SRX5000 con SPC2 |
Línea SRX5000 con modo mixto (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
st0 en P2P |
Con dirección IPv4 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Con dirección IPv6 |
No |
No |
No |
No |
No |
No |
No |
No |
|
|
st0 en P2MP |
Con dirección IPv4 |
Sí |
No |
Sí |
No |
No |
No |
Sí. No se admite el subproceso múltiple. |
No |
|
Con dirección IPv6 |
No |
No |
No |
No |
No |
No |
No |
No |
|
|
Protocolo RIP en VPN IPsec |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
Línea SRX5000 con SPC3Línea SRX5000 con SPC2 |
Línea SRX5000 con modo mixto (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
st0 en P2P |
Con dirección IPv4 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Con dirección IPv6 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
|
st0 en P2MP |
Con dirección IPv4 |
No |
No |
No |
No |
No |
No |
No |
No |
|
Con dirección IPv6 |
No |
No |
No |
No |
No |
No |
No |
No |
|
|
BFD en VPN IPsec |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
Línea SRX5000 con SPC3Línea SRX5000 con SPC2 |
Línea SRX5000 con modo mixto (SPC3+SPC2) |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
st0 en P2P |
Con dirección IPv4 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
Con dirección IPv6 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
|
|
st0 en P2MP |
Con dirección IPv4 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
No |
|
Con dirección IPv6 |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
Sí |
No |
|
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
junos-ike el paquete se instala en Junos OS versiones 20.1R2, 20.2R2, 20.3R2, 20.4R1 y posteriores para SRX5000 línea con RE3. Como resultado, iked el proceso se ikemd ejecuta en el motor de enrutamiento de forma predeterminada en lugar del demonio de administración de claves IPsec (kmd).