Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN de IPsec para IPv6

Juniper Networks admite ICR manual y Autokey con configuraciones de claves previamente compartidas para IPv6 IPsec VPN.

Compatibilidad con características de VPN para direcciones IPv6

Un túnel VPN de sitio a sitio basado en la ruta con una interfaz de túnel segura punto a punto puede funcionar en los modos de túnel IPv4-in-IPv4, IPv6-in-IPv6, IPv6-in-IPv4 o IPv4-in-IPv6. Las direcciones IPv6 pueden encontrarse en el encabezado IP externo, que representa el extremo del túnel, o en el encabezado IP interior, que representa las direcciones finales de origen y destino de un paquete.

Tabla 1define la compatibilidad con direcciones IPv6 en características VPN.

Tabla 1: Compatibilidad con direcciones IPv6 en características VPN

Función

Posible

Excepción

Compatibilidad con ICR e IPsec:

IKEv1 e IKEv2

A menos que se especifique lo especificado, todas las características compatibles son aplicables a IKEv1 e IKEv2.

VPN basado en la ruta

VPN basada en políticas

Las VPN basadas en Directiva de IPv6 no se admiten en los dispositivos serie SRX en las configuraciones de clústeres del chasis. Las VPN basadas en Directiva de IPv6 solo se admiten con túneles IPv6 en IPv6 en SRX300 independientes, SRX320, SRX340, SRX345 y dispositivos SRX550HM.

VPN de sitio a sitio

Solo se admite VPN de sitio a sitio, que es uno a uno. No se admite la VPN de sitio a sitio de varios a uno (NHTB). La configuración NHTB no se puede confirmar para los modos de túnel que no sean IPv4 en IPv4.

VPN de extremo dinámico

VPN de acceso telefónico

AutoVPN

Las redes AutoVPN que utilizan interfaces de túnel seguro en el modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para los ICR homólogos. AutoVPN en el modo punto a multipunto no admite el tráfico IPv6.

VPN de grupo

No

Interfaces de túnel punto a punto

Interfaces de túnel punto a multipunto

No

Escenario radial para VPN de sitio a sitio

Interfaces de túnel numeradas y no numeradas

Enrutamiento estático y dinámico de unidifusión (RIP, OSPF, BGP)

Enrutamiento dinámico de multidifusión (PIM)

No

Enrutador virtual

Sistema lógico

No

Administración automática y manual de SA y de claves

Varias SPUs

Clúster de chasis

IPsec VPN con el modo activo-activo solo se admite en dispositivos de SRX300, SRX320, SRX340, SRX345 y SRX550HM para túneles IPv6 basados en rutas. IPsec VPN con el modo activo-activo no se admite en dispositivos SRX5400, SRX5600 y SRX5800.

Estadísticas, registros, depuración por túnel

BIA SNMP

Selección de dirección local

Si se configuran varias direcciones de la misma familia de direcciones en una interfaz externa física para una VPN Peer, recomendamos que local-address configure tambiénedit security ike gateway gateway-nameen el nivel de jerarquía [].

Terminación de dirección de bucle invertido

Xauth o modecfg a través de IPv6

No

Inserción de SPC

PIDIÓ

Nombre DNS como ICR dirección de puerta de enlace

Al igual que con los túneles de IPv4, las direcciones de puerta de enlace del mismo nivel en el nombre DNS no se admiten con túneles de IPv6.

Autenticación de certificado o clave previamente compartida

TDR-transversal (TDR-T) para los interlocutores ICR de IPv4

TDR-T solo es compatible con los modos de túnel IPv6-en-IPv4 e IPv4-en-IPv4 con IKEv1. No se admiten los modos de túnel IPv6-in-IPv6 e IPv4-in-IPv6. No se admite IKEv2 para TDR-T. No se admite TDR-T de IPv6 a IPv4 ni de IPv4 a IPv6.

Detección de pares inactivos (DPD) y failover de puerta de enlace DPD

El failover de puerta de enlace de DPD solo se admite para las distintas direcciones de puerta de enlace dentro de la misma familia. No se admite la conmutación por error desde una dirección de puerta de enlace IPv6 a una dirección de puerta de enlace IPv4, o viceversa.

Conjuntos de cifrado, algoritmos de autenticación y grupos DH compatibles con Junos OS versión 12.1 X45-D10 para dispositivos serie SRX.

Propuestas y políticas genéricas para IPv6 e IPv4

ID. de ICR general

ESP y los modos de transporte AH

No

No se admiten estos modos para IPv4.

Modos de túnel ESP y AH

No se admite el modo de túnel AH con encabezados y opciones con extensiones mutables.

Número de secuencia extendida

No

Pares de ID de proxy único

Varios pares de selector de tráfico

Solo se admite con IKEv1.

Duración de ICR o SA de IPsec, en segundos

Duración de ICR SA, en kilobytes

Supervisión de VPN

No

No se puede confirmar la configuración con túneles de IPv6.

Bit DF

Para túneles IPv6 en IPv6, el bit DF solo se establece si se configura en el nivel deedit security ipsec vpn vpn-namejerarquía []. df-bit clear es el valor predeterminado.

Dos pilas (túneles IPv4 e IPv6 paralelos) a través de una sola interfaz física

Para VPN de sitio a sitio basadas en la ruta. Un túnel IPv4 único puede funcionar en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4 y un solo túnel IPv6 puede funcionar en los modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6.

Encabezados de extensión de IPv6

Los encabezados de extensión de IPv6 y las opciones de IPv4 para ICR y los paquetes IPsec se aceptan, pero no se procesan. No se admite AH con EHs mutables y opciones.

Fragmentación y remontaje

Afinidad de sesión VPN

Tráfico de multidifusión

No

Servicios de IP de túnel (Screen, TDR, ALG, IP, AppSecure)

Reordenación de paquetes para fragmentos IPv6 a través de túnel

No

Detección de reenvío bidireccional (BFD) a través de OSPFv3 rutas en la interfaz st0

No

Protocolo Neighbor Discovery (NDP) a través de las interfaces st0

No

Compatibilidad con PKI:

PKI en enrutador virtual

RSA Signature Authentication (512-, 1024-, 2048-o 4096-bit de tamaño)

Autenticación de firma de DSA (1024-, 2048 ó 4096 de tamaño de clave)

Firmas de ECDSA

Autenticación de cadena de certificado

No

Inscripción automática o manual a través de IPv4

Revocación automática o manual a través de IPv4

Inscripción automática o manual a través de IPv6

No

Revocación automática o manual a través de IPv6

No

Direcciones IPv6 en campos de certificados de PKI

No

Descripción del procesamiento de paquetes IPsec e ICR de IPv6

Este tema incluye las siguientes secciones:

Procesamiento de paquetes del ICR IPv6

Intercambio de claves por red (ICR) forma parte del conjunto IPsec de protocolos. Habilita automáticamente dos extremos de túnel para configurar asociaciones de seguridad (SA) y negociar claves secretas entre sí. No es necesario configurar manualmente los parámetros de seguridad. ICR también proporciona autenticación para los elementos del mismo nivel que se comunican.

El procesamiento de paquetes ICR en redes IPv6 incluye los siguientes elementos:

  • Carga de identificación del Protocolo de administración de claves e Asociación de seguridad de Internet (ISAKMP)

    La carga de identificación de ISAKMP se utiliza para identificar y autenticar los interlocutores IPv6 que se comunican. Se habilitan dos tipos de ID (ID_IPV6_ADDR y ID_IPV6_ADDR_SUBNET) para IPv6. El tipo de ID. indica el tipo de identificación que se va a utilizar. El tipo de ID_IPV6_ADDR especifica una dirección IPv6 única de 16 octetos. Este tipo de identificador representa una dirección IPv6. El tipo ID_IPV6_ADDR_SUBNET especifica un rango de direcciones IPv6 representadas por valores de 2 16 octetos. Este tipo de identificador representa una máscara de red IPv6. Tabla 2 enumera los tipos de identificador y sus valores asignados en la carga de identificación.

    Tabla 2: Tipos de IDENTIFICADOres ISAKMP y sus valores

    ID (tipo)

    Valor

    Reservados

    0

    ID_IPV4_ADDR

    1

    ID_FQDN

    2

    ID_USER_FQDN

    3

    ID_IPV4_ADDR_SUBNET

    4

    ID_IPV6_ADDR

    5

    ID_IPV6_ADDR_SUBNET

    6

    ID_IPV4_ADDR_RANGE

    7

    ID_IPV6_ADDR_RANGE

    8

    ID_DER_ASN1_DN

    9

    ID_DER_ASN1_GN

    10

    ID_KEY_ID

    11

    ID_LIST

    12

    El tipo ID_IPV6_ADDR_RANGE especifica un rango de direcciones IPv6 representadas por valores de 2 16 octetos. El primer valor de octeto representa la dirección IPv6 de inicio y el segundo valor de octetos representa la dirección IPv6 final del intervalo. Todas las direcciones IPv6 que se encuentren entre la primera y la última dirección IPv6 se consideran parte de la lista.

    En esta versión no se admiten dos tipos de ID. en la carga de identificación de ISAKMP (ID_IPV6_ADDR_RANGE y ID_IPV4_ADDR_RANGE).

  • ID de proxy

    Un ID de proxy se utiliza durante la fase 2 de ICR negociación. Se genera antes de que se establezca un túnel IPsec. Un ID de proxy identifica la SA que se utilizará para la VPN. Se generan dos ID de proxy: local y remoto. El ID de proxy local se refiere a las direcciones IPv4 o IPv6, red y máscara de subred locales. El ID de proxy remoto hace referencia a las direcciones IPv4 o IPv6, red y máscara de subred remotas.

  • Asociación de seguridad

    Una SA es un acuerdo entre los participantes de VPN para apoyar la comunicación segura. LasAS se diferencian según tres parámetros: índice de parámetros de seguridad (SPI), dirección IPv6 de destino y protocolo de seguridad (AH o ESP). El SPI es un valor único asignado a una SA para ayudar a identificar una SA entre varias SA. En un paquete IPv6, la SA se identifica desde la dirección de destino en el encabezado IPv6 externo y el protocolo de seguridad se identifica desde el encabezado AH o el de ESP.

Procesamiento de paquetes IPsec IPv6

Después de completar ICR negociaciones y de que las dos puertas de enlace ICR han establecido una de las SA de las fases 1 y 2, IPv6 IPsec emplea las tecnologías de autenticación y cifrado para proteger los paquetes IPv6. Dado que las direcciones IPv6 tienen una longitud de 128 bits, en comparación con las direcciones IPv4, que tienen una longitud de 32 bits, el procesamiento de paquetes IPsec IPv6 requiere más recursos.

No se admite la reordenación de paquetes para fragmentos IPv6 a través de un túnel.

Los dispositivos con direccionamiento IPv6 no realizan fragmentación. Los hosts de IPv6 deben realizar el descubrimiento de MTU de ruta o enviar paquetes más pequeños que el tamaño de MTU mínimo de IPv6 de 1280 bytes.

Este tema incluye las siguientes secciones:

Protocolo AH en IPv6

El protocolo AH proporciona integridad de datos y autenticación de datos para paquetes de IPv6. IPsec IPv6 utiliza encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) que deben organizarse de una manera determinada en el datagrama IPv6. En el modo de túnel AH, el encabezado AH sigue inmediatamente al nuevo encabezado IPv6 externo, similar al que aparece en el modo de túnel AH de IPv4. Los encabezados de extensión se colocan después del encabezado interno original. Por lo tanto, en el modo de túnel AH, todo el paquete se encapsula mediante la adición de un nuevo encabezado IPv6 externo, seguido de un encabezado de autenticación, un encabezado interno, encabezados de extensión y el resto del datagrama Figura 1original, tal como se muestra en la.

Figura 1: Modo de túnel AH IPv6Modo de túnel AH IPv6

A diferencia de lo que ocurre con ESP, el algoritmo de autenticación de AH abarca tanto al encabezado externo como a cualquier otro encabezado o opción de extensión.

El modo de túnel AH en serie SRX dispositivos no admite las opciones mutables de IPv4 ni los encabezados de extensión mutables IPv6. Consulte Tabla 3la.

Protocolo ESP en IPv6

El protocolo ESP proporciona cifrado y autenticación para paquetes de IPv6. Dado que IPsec IPv6 utiliza encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) en el datagrama IPv6, la diferencia más importante entre el modo de túnel IPv6 ESP y el modo de túnel IPv4 ESP radica en la colocación de los encabezados de extensión en el diseño de paquetes. En el modo de túnel ESP, el encabezado ESP sigue inmediatamente al nuevo encabezado IPv6 externo, similar al del modo de túnel IPv4 ESP. Por lo tanto, en el modo de túnel ESP, todo el paquete se encapsula mediante la adición de un nuevo encabezado IPv6 externo, seguido de un encabezado ESP, un encabezado interno, encabezados de extensión y el resto del datagrama original Figura 2tal y como se muestra en.

Figura 2: Modo de túnel IPv6 ESPModo de túnel IPv6 ESP

Opciones de IPv4 y encabezados de extensión de IPv6 con AH y ESP

Se pueden recibir paquetes IPsec con opciones IPv4 o encabezados de extensión de IPv6 para decapsulation en dispositivos serie SRX. Tabla 3 muestra las opciones de IPv4 o los encabezados de extensión de IPv6 que se admiten con el protocolo ESP o ah en los dispositivos serie SRX. Si se recibe un paquete IPsec no compatible, se produce un error en el cálculo de ICV y se descarta el paquete.

Tabla 3: Compatibilidad con opciones de IPv4 o encabezados de extensión de IPv6

Encabezados de opciones o extensión

SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM

Dispositivos SRX5400, SRX5600 y SRX5800

Opciones ESP con IPv4

Posible

Posible

ESP con encabezados de extensión de IPv6

Posible

Posible

AH con IPv4, opciones invariables

Posible

Posible

AH con encabezados de extensión invariable IPv6

Posible

Posible

AH con opciones mutables de IPv4

No compatible

No compatible

AH con encabezados de extensión mutable IPv6

No compatible

No compatible

Cálculo del valor de comprobación de integridad en IPv6

El protocolo AH comprueba la integridad del paquete IPv6 mediante el cálculo de un valor de comprobación de integridad (ICV) en el contenido del paquete. El ICV se suele crear sobre un algoritmo de autenticación, como MD5 o SHA-1. Los cálculos de IPv6 ICV difieren de eso en IPv4 en términos de dos campos de encabezado: encabezado mutable y encabezado de extensión opcional.

Puede calcular el AH ICV sobre los campos de encabezado de IPv6 que son inmutables en tránsito o previsibles en el valor cuando llega en los extremos de túnel. También puede calcular el AH ICV sobre el encabezado AH y los datos de protocolo de alto nivel (considerados inmutables durante la transmisión). Puede calcular la ICV de ESP en todo el paquete IPv6, excluyendo el nuevo encabezado IPv6 externo y los encabezados de extensión opcionales.

A diferencia de IPv4, IPv6 cuenta con un método para marcar opciones como mutables en el tránsito. IPv6 los encabezados de extensión opcionales contienen un indicador que indica la mutabilidad. Este indicador determina el procesamiento adecuado.

Las opciones variables de IPv4 y los encabezados de extensión de IPv6 no son compatibles con el protocolo AH.

Construcción de encabezado en modos de túnel

En el modo de túnel, las direcciones de origen y destino del encabezado IPv4 o IPv6 externo representan los extremos del túnel, mientras que las direcciones de origen y de destino del encabezado IPv4 o IPv6 interno representan las direcciones de origen y destino finales. Tabla 4 resume cómo se relaciona el encabezado IPv6 externo con el encabezado interno IPv6 o IPv4 para los modos de túnel IPv6-en-IPv6 o IPv4-in-IPv6. En los campos de encabezado externos, "Constructed" significa que el valor del campo de encabezado exterior se crea independientemente del valor del campo de encabezado interno.

Tabla 4: Construcción de encabezado IPv6 para los modos de túnel IPv6-in-IPv6 e IPv4-in-IPv6

Los campos de encabezado

Encabezado exterior en encapsulador

Encabezado interno en Decapsulator

versi

6.

Ningún cambio.

Campo DS

Copiado de la cabecera interna.

Ningún cambio.

Campo ECN

Copiado de la cabecera interna.

Elabora.

etiqueta de flujo

0.

Ningún cambio.

longitud de carga útil

Elabora.

Ningún cambio.

siguiente encabezado

AH, ESP, y encabezado de enrutamiento.

Ningún cambio.

límite de saltos

64.

Disminución.

Dirección de origen

Elabora.

Ningún cambio.

Dirección de destino

Elabora.

Ningún cambio.

Encabezados de extensión

Nunca se copió.

Ningún cambio.

Tabla 5resume cómo se relaciona el encabezado IPv4 exterior con el encabezado interno IPv6 o IPv4 para los modos de túnel IPv6-en-IPv4 o IPv4-en-IPv4. En los campos de encabezado externos, "Constructed" significa que el valor del campo de encabezado exterior se crea independientemente del valor del campo de encabezado interno.

Tabla 5: Construcción de encabezado IPv4 para los modos de túnel IPv6-en-IPv4 y IPv4-en-IPv4

Los campos de encabezado

Encabezado exterior

Encabezado interno

versi

4.

Ningún cambio.

longitud del encabezado

Elabora.

Ningún cambio.

Campo DS

Copiado de la cabecera interna.

Ningún cambio.

Campo ECN

Copiado de la cabecera interna.

Elabora.

longitud total

Elabora.

Ningún cambio.

ID

Elabora.

Ningún cambio.

indicadores (DF, MF)

Elabora.

Ningún cambio.

desplazamiento de fragmento

Elabora.

Ningún cambio.

PERIODO

64.

Disminución.

Protocolo

AH, ESP

Ningún cambio.

MD5

Elabora.

Elabora.

Dirección de origen

Elabora.

Ningún cambio.

Dirección de destino

Elabora.

Ningún cambio.

Opciones

Nunca se copió.

Ningún cambio.

Para el modo de túnel IPv6-en-IPv4, el bit No fragmentar (DF) está desactivado de forma predeterminada. Si las df-bit set opciones df-bit copy o se configuran enedit security ipsec vpn vpn-nameel nivel de jerarquía [] para el correspondiente VPN de IPv4, se establecerá el bit DF en el encabezado de IPv4 exterior.

Para el modo de túnel IPv4 en IPv4, el bit DF del encabezado IPv4 exterior se basa en la df-bit opción configurada para el encabezado IPv4 interno. Si df-bit no se configura para el encabezado IPv4 interno, el bit DF se borra en el encabezado IPv4 exterior.

Introducción a la configuración IPsec de IPv6

Juniper Networks admite ICR manual y Autokey con configuraciones de claves previamente compartidas para IPv6 IPsec VPN.

  • VPN manual: en una configuración VPN manual, las claves y asociaciones de seguridad (AS) secretos se configuran manualmente en los puntos de conexión de túnel mediante el mecanismo de clave manual. Para crear una VPN manual IPv6 IPsec, consulte el ejemplo: Configuración de una VPNmanual de IPSec para IPv6.

  • AUTOKey ICR VPN: en una configuración VPN de ICR autoKey, las claves y LAS secretos se crean automáticamente mediante el mecanismo de ICR automático. Para configurar una VPN de clave automática IPv6 ICR, se requieren dos fases de negociaciones: fase 1 y fase 2.

    • Fase 1: en esta fase, los participantes establecen un canal seguro para negociar las SA de IPSec.

    • Fase 2: en esta fase, los participantes negocian las SA de IPSec para autenticar y cifrar los paquetes de datos IPv6.

    Para obtener más información sobre las negociaciones de fase 1 y fase 2, consulte Intercambio de claves por red

Ejemplo Configuración de una VPN manual de IPsec para IPv6

En este ejemplo se muestra cómo configurar una VPN manual de IPsec para IPv6.

Aplicables

Antes de empezar:

Descripción general

En una configuración VPN manual, las claves secretas se configuran manualmente en los dos extremos de IPsec.

En este ejemplo, usted:

  • Configure los parámetros de autenticación para una VPN denominada VPN-Sunnyvale.

  • Configure los parámetros de cifrado para VPN-Sunnyvale.

  • Especifique la interfaz de salida de la SA.

  • Especifique la dirección IPv6 del interlocutor.

  • Defina el protocolo IPsec. Seleccione el protocolo ESP porque la configuración incluye tanto la autenticación como el cifrado.

  • Configure un índice de parámetros de seguridad (SPI).

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar algoritmos de seguridad:

  1. Configure los parámetros de autenticación.

  2. Configure los parámetros de cifrado.

  3. Especifique la interfaz de salida de la SA.

  4. Especifique la dirección IPv6 del interlocutor.

  5. Defina el protocolo IPsec.

  6. Configurar un IRP.

Resultados

Desde el modo de configuración, escriba el show security ipsec vpn vpn-sunnyvale comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Comproba

Para confirmar que la configuración funciona correctamente, realice esta tarea:

Comprobación de los algoritmos de seguridad

Purpose

Determine si se aplican o no algoritmos de seguridad.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando.

Ejemplo Configuración de una VPN AutoKey de IPv6 ICR basada en políticas

Este ejemplo muestra cómo configurar un IPv6 AutoKey ICR VPN basado en políticas para permitir que los datos de IPv6 se transfieran de manera segura entre la sucursal y la oficina corporativa.

Las VPN basadas en directivas de IPv6 solo se admiten en dispositivos independientes SRX300, SRX320, SRX340, SRX345 y SRX550HM.

Aplicables

Este ejemplo utiliza el siguiente hardware:

  • Dispositivo SRX300

Antes de empezar:

Descripción general

En este ejemplo, se configura una VPN basada en políticas de IPv6 ICR para una sucursal de Chicago, Illinois, ya que no es necesario conservar los recursos de túnel ni configurar muchas políticas de seguridad para filtrar el tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes empresariales en Sunnyvale, California.

Figura 3muestra un ejemplo de una topología VPN de ICR IPv6 basada en políticas. En esta topología, un dispositivo serie SRX se encuentra en Sunnyvale y otro dispositivo serie SRX (puede ser un segundo dispositivo serie SRX o un dispositivo de otro fabricante) se encuentra en Chicago.

Figura 3: Topología VPN basada en la Directiva de ICR de IPv6Topología VPN basada en la Directiva de ICR de IPv6

En este ejemplo, puede configurar interfaces, una ruta IPv6 predeterminada, zonas de seguridad y libretas de direcciones. A continuación, configure ICR fase 1, IPsec Phase 2, una directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 6 a Tabla 10través de.

Tabla 6: Información de interfaz, zona de seguridad y libreta de direcciones

Función

Nombre

Parámetros de configuración

Interfaces

ge-0/0/14.0

2001:db8:1:1::/64

 

ge-0/0/15.0

2001:db8:0:4::/64

Zonas de seguridad

confia

  • Se permiten todos los servicios del sistema.

  • La interfaz GE-0/0/14.0 está enlazada a esta zona.

 

no fiable

  • ICR es el único servicio de sistema permitido.

  • La interfaz GE-0/0/15.0 está enlazada a esta zona.

Entradas de la libreta de direcciones

Sunnyvale

  • Esta dirección es para la libreta de direcciones de la zona de confianza.

  • La dirección de esta entrada de la libreta de direcciones es 2001: db8:1: 2::/64.

 

Oficina

  • Esta dirección es para la libreta de direcciones de la zona de no confianza.

  • La dirección de esta entrada de la libreta de direcciones es 2001: db8:0: 1::/64.

Tabla 7: Parámetros de configuración de IPv6 ICR 1

Función

Nombre

Parámetros de configuración

Clasificado

ipv6-ike-phase1-proposal

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: aes-128-cbc

Políticas

ipv6-ike-phase1-policy

  • Medio Ambiciosa

  • Referencia de la propuesta: ipv6-ike-phase1-proposal

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

Gateway

GW-Chicago

  • Referencia de políticas ICR: ipv6-ike-phase1-policy

  • Interfaz externa: ge-0/0/15.0

  • Dirección de puerta de enlace: 2001:db8:0:3::/64

Tabla 8: Parámetros de configuración de IPv6 IPsec Phase 2

Función

Nombre

Parámetros de configuración

Clasificado

ipv6-ipsec-phase2-proposal

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: aes-128-cbc

Políticas

ipv6-ipsec-phase2-policy

  • Referencia de la propuesta: ipv6-ipsec-phase2-proposal

  • PF Diffie-Hellman grupo2

VIRTUALES

ipv6-ike-vpn-chicago

  • Referencia de puerta de enlace ICR: GW-Chicago

  • Referencia de directiva IPsec: ipv6-ipsec-phase2-policy

Tabla 9: Parámetros de configuración de la Directiva de seguridad

Purpose

Nombre

Parámetros de configuración

Esta directiva de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza.

ipv6-vpn-tr-untr

  • Criterios de coincidencia:

    • Sunnyvale de dirección de origen

    • destino de la dirección de Chicago

    • aplicación cualquier

  • Acción de permiso: túnel IPSec-VPN IPv6-IKE-VPN-Chicago

  • Acción de permiso: par de túnel-Directiva IPv6-VPN-untr-TR

Esta directiva de seguridad permite el tráfico desde la zona de no confianza hasta la zona de confianza.

ipv6-vpn-untr-tr

  • Criterios de coincidencia:

    • Dirección de origen Chicago

    • Sunnyvale de dirección de destino

    • aplicación cualquier

  • Acción de permiso: túnel IPSec-VPN IPv6-IKE-VPN-Chicago

  • Acción de permiso: par de túnel-Directiva IPv6-VPN-TR-untr

Esta directiva de seguridad permite todo el tráfico desde la zona de confianza hasta la zona de no confianza.

Debe colocar la Directiva IPv6-VPN-TR-untr antes de la Directiva permit-any Security. Junos OS realiza una búsqueda de políticas de seguridad a partir de la parte superior de la lista. Si el permiso-cualquier política viene antes de la Directiva IPv6-VPN-TR-untr, todo el tráfico procedente de la zona de confianza coincidirá con el permiso-cualquier política y estará permitido. Por lo tanto, ningún tráfico se corresponderá nunca con la Directiva IPv6-VPN-TR-untr.

permiso-any

  • Criterios de coincidencia:

    • Source-Address any

    • origen-destino cualquiera

    • aplicación cualquier

  • Intervención estancia

Tabla 10: Parámetros de configuración de TCP-MSS

Purpose

Parámetros de configuración

TCP-MSS se negocia como parte del Protocolo de enlace de TCP de tres vías y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de MTU en una red. Esto es especialmente importante para el tráfico VPN, ya que la sobrecarga de encapsulación IPsec, junto con la sobrecarga de IP y Frame, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, causando así la fragmentación. La fragmentación da como resultado un uso más elevado de los recursos de dispositivos y ancho de banda.

Se recomienda el valor 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que necesite experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo de la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Automática

Configuración de la información básica de red, zona de seguridad y libreta de direcciones

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar la red básica, la zona de seguridad y la libreta de direcciones:

  1. Configurar la información de interfaz Ethernet.

  2. Configurar la información de rutas estáticas.

  3. Configure la zona de seguridad que no es de confianza.

  4. Asigne una interfaz a la zona de seguridad de no confianza.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad de confianza.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.

  9. Cree una libreta de direcciones y adjúntela a ella una zona.

  10. Crear otra libreta de direcciones y conectarle una zona.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar ICR

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta ICR fase 1.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Definir el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Crear una directiva ICR la fase 1.

  7. Establecer el modo de directiva ICR fase 1.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de directivas ICR fase 1.

  10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.

  11. Defina la referencia de directiva ICR fase 1.

  12. Asigne una dirección IP a la puerta de enlace ICR Phase 1.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta relativa a la fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Crear la Directiva de fase 2 de IPsec.

  6. Especifique la referencia a la propuesta de la fase 2 de IPsec.

  7. Especificar IPsec PFS de fase 2 para utilizar Diffie-Hellman Group 2.

  8. Especifique el ICR puerta de enlace.

  9. Especifique la directiva IPsec de fase 2.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar las políticas de seguridad:

  1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

  2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de confianza.

  3. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

  4. Reordenar las políticas de seguridad para que la Directiva de seguridad de VPN-TR-untr esté situada por encima de la Directiva permit-any Security.

Resultados

Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar la información de MSS de TCP:

  1. Configure TCP-MSS Information.

Resultados

Desde el modo de configuración, escriba el show security flow comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación del estado de la fase 1 ICR

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en Sunnyvale a un host de Chicago. En el caso de las VPN basadas en políticas, un host independiente debe generar el tráfico; el tráfico iniciado desde el dispositivo serie SRX no coincidirá con la directiva VPN. Recomendamos que el tráfico de prueba sea de un dispositivo independiente en un extremo de la VPN a otro dispositivo del otro extremo de la VPN. Por ejemplo, inicie ping desde 2001: db8:1: 2::/64 a 2001: db8:0: 1::/64.

En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.

Efectos

El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA) activas de ICR fase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show security ike security-associations index index_number detail más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota es correcta.

  • Estado

    • UP: se estableció la SA de fase 1.

    • ABAJO: se hubo un problema al establecer la SA de fase 1.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • ICR parámetros de políticas

  • Información de claves previamente compartidas

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)

El show security ike security-associations index 5 detail comando enumera la información adicional acerca de la Asociación de seguridad con un número de índice de 5:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de rol de iniciador y de contestador

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobación del estado de la fase 2 de IPsec

Purpose

Compruebe el estado de la fase 2 de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.

Efectos

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • El número de identificación es 2. Utilice este valor con el show security ipsec security-associations index comando para obtener más información acerca de esta SA en particular.

  • Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 3597/unlim indica que la duración de la fase 2 caduca en 3597 segundos y que no se ha especificado ningún LifeSize, lo que indica que la duración es ilimitada. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si la supervisión de VPN está habilitada, se enumeran U (arriba) o D (abajo).

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

La salida del show security ipsec security-associations index 2 detail comando muestra la siguiente información:

  • Las identidades local y remota componen el ID de proxy de la SA.

    Una de las causas más frecuentes de un error de fase 2 es que no coincidan los IDENTIFICADOres de proxy. Para las VPN basadas en políticas, el ID del proxy se deriva de la Directiva de seguridad. Las direcciones local y remota se derivan de las entradas de la libreta de direcciones, y el servicio se deriva de la aplicación configurada para la Directiva. Si la fase 2 falla debido a un ID de proxy, puede utilizar la Directiva para confirmar qué entradas de la libreta de direcciones están configuradas. Compruebe que las direcciones coinciden con la información enviada. Compruebe el servicio para asegurarse de que los puertos coinciden con la información enviada.

    Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.