Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN basadas en políticas

Una VPN basada en políticas es una configuración en la cual se especifica un túnel VPN IPsec creado entre dos puntos de conexión dentro de la propia política con una acción de política para el tráfico de tránsito que cumple con los criterios de coincidencia de la política.

Descripción de VPN de IPsec basadas en directivas

Para VPN IPsec basada en políticas, una política de seguridad especifica como su acción el túnel VPN que se utilizará para el tráfico de tránsito que cumple con los criterios de coincidencia de la política. Una VPN está configurada independientemente de una declaración de directiva. La instrucción de directiva hace referencia a la VPN por su nombre para especificar el tráfico que tiene permiso de acceso al túnel. Para VPN basadas en directivas, cada directiva crea una asociación de seguridad IPsec (SA) individual con el interlocutor remoto, cada uno de los cuales cuenta como un túnel VPN individual. Por ejemplo, si una Directiva contiene una dirección de origen del grupo y una dirección de destino del grupo, siempre que uno de los usuarios que pertenecen a la dirección intente comunicarse con cualquiera de los hosts especificados como dirección de destino, se negociará un nuevo túnel y establece. Dado que cada túnel requiere su propio proceso de negociación y un par independiente de SA, el uso de VPN de IPsec basadas en políticas puede consumir más recursos que las VPN basadas en la ruta.

Ejemplos de dónde se pueden utilizar las VPN basadas en políticas:

  • Está implementando una red privada virtual (VPN) de acceso telefónico.

  • Las VPN basadas en políticas le permiten dirigir el tráfico en función de las políticas del cortafuegos.

Recomendamos que utilice VPN basado en la ruta cuando desee configurar una VPN entre varios sitios remotos. Las VPN basadas en la ruta pueden proporcionar las mismas capacidades que las VPN basadas en políticas.

Ejemplo Configuración de una VPN basada en políticas

En este ejemplo se muestra cómo configurar una VPN basada en Directiva para permitir que los datos se transfieran de manera segura entre una sucursal y la oficina corporativa.

Aplicables

Antes de comenzar, lea Descripción general de IPsec .

Descripción general

En este ejemplo, se configura una VPN basada en políticas para una sucursal de Chicago, Illinois, ya que no es necesario conservar los recursos de túnel ni configurar muchas políticas de seguridad para filtrar el tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes empresariales en Sunnyvale, California.

Figura 1muestra un ejemplo de una topología VPN basada en políticas. En esta topología, el dispositivo serie SRX se encuentra en Sunnyvale, mientras que un dispositivo de la serie SSG (o puede ser otro dispositivo de otro fabricante) se encuentra en Chicago.

Figura 1: Topología VPN basada en políticasTopología VPN basada en políticas

ICR la negociación de túnel IPsec se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la Asociación de seguridad IPsec (SA). En la fase 2, los participantes negocian la SA IPsec para autenticar el tráfico que fluirá a través del túnel. Al igual que existen dos fases para la negociación del túnel, existen dos fases para la configuración del túnel.

En este ejemplo, puede configurar las interfaces, una ruta predeterminada IPv4, las zonas de seguridad y las libretas de direcciones. A continuación, configure ICR fase 1, la fase 2 de IPsec, la Directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 1 a Tabla 5través de.

Tabla 1: Información de interfaz, zona de seguridad y libreta de direcciones

Función

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

192.168.10.1/24

 

ge-0/0/3.0

10.1.1.2/30

Zonas de seguridad

confia

  • Se permiten todos los servicios del sistema.

  • La interfaz GE-0/0/0.0 está enlazada a esta zona.

 

no fiable

  • ICR es el único servicio de sistema permitido.

  • La interfaz GE-0/0/3.0 está enlazada a esta zona.

Entradas de la libreta de direcciones

Sunnyvale

  • Esta dirección es una entrada de la libreta book1de direcciones, que se adjunta a una zona trusta la que se llama.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.10.0/24.

 

Oficina

  • Esta dirección es una entrada de la libreta book2de direcciones, que se adjunta a una zona untrusta la que se llama.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.168.0/24.

Tabla 2: Parámetros de configuración de ICR fase 1

Función

Nombre

Parámetros de configuración

Clasificado

ike-phase1-proposal

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: aes-128-cbc

Políticas

ike-phase1-policy

  • Medio principalmente

  • Referencia de la propuesta: ike-phase1-proposal

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

Gateway

GW-Chicago

  • Referencia de políticas ICR: ike-phase1-policy

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.1.1.1

Tabla 3: Parámetros de configuración de la fase 2 de IPsec

Función

Nombre

Parámetros de configuración

Clasificado

ipsec-phase2-proposal

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: aes-128-cbc

Políticas

ipsec-phase2-policy

  • Referencia de la propuesta: ipsec-phase2-proposal

  • PF Diffie-Hellman grupo2

VIRTUALES

IKE-VPN-Chicago

  • Referencia de puerta de enlace ICR: GW-Chicago

  • Referencia de directiva IPsec: ipsec-phase2-policy

Tabla 4: Parámetros de configuración de la Directiva de seguridad

Purpose

Nombre

Parámetros de configuración

Esta directiva de seguridad permite el tráfico desde la zona de confianza a la zona de no confianza.

VPN-TR-untr

  • Criterios de coincidencia:

    • Sunnyvale de dirección de origen

    • destino de la dirección de Chicago

    • aplicación cualquier

  • Acción de permiso: túnel IPSec-VPN IKE-VPN-Chicago

  • Acción de permiso: par de túnel-directiva VPN-untr-TR

Esta directiva de seguridad permite el tráfico desde la zona de no confianza hasta la zona de confianza.

VPN-untr-TR

  • Criterios de coincidencia:

    • Dirección de origen Chicago

    • Sunnyvale de dirección de destino

    • aplicación cualquier

  • Acción de permiso: túnel IPSec-VPN IKE-VPN-Chicago

  • Acción de permiso: par de túnel-directiva VPN-TR-untr

Esta directiva de seguridad permite todo el tráfico desde la zona de confianza hasta la zona de no confianza.

Debe colocar la directiva VPN-TR-untr antes que la Directiva permit-any Security. Junos OS realiza una búsqueda de políticas de seguridad a partir de la parte superior de la lista. Si el permiso-cualquier política se encuentra antes que la directiva VPN-TR-untr, todo el tráfico procedente de la zona de confianza coincidirá con la Directiva de permiso (cualquier política) y estará permitida. Por lo tanto, no habrá tráfico que coincida con la directiva VPN-TR-untr.

permiso-any

  • Criterios de coincidencia:

    • Source-Address any

    • origen-destino cualquiera

    • aplicación cualquier

  • Intervención estancia

Tabla 5: Parámetros de configuración de TCP-MSS

Purpose

Parámetros de configuración

TCP-MSS se negocia como parte del Protocolo de enlace de TCP de tres vías y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de unidad máxima de transmisión (MTU) en una red. Esto es especialmente importante para el tráfico VPN, ya que la sobrecarga de encapsulación IPsec, junto con la sobrecarga de IP y Frame, puede hacer que el paquete de carga de seguridad encapsuladora (ESP) resultante supere la MTU de la interfaz física, causando así la fragmentación. La fragmentación da como resultado un uso más elevado de los recursos de dispositivos y ancho de banda.

Se recomienda el valor 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que necesite experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo de la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Automática

Configuración de la información básica de red, zona de seguridad y libreta de direcciones

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar la red básica, la zona de seguridad y la libreta de direcciones:

  1. Configurar la información de interfaz Ethernet.

  2. Configurar la información de rutas estáticas.

  3. Configure la zona de seguridad que no es de confianza.

  4. Asigne una interfaz a la zona de seguridad.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad.

  9. Crear una libreta de direcciones y adjuntarla a una zona.

  10. Crear otra libreta de direcciones y asociarla a una zona.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar ICR

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta ICR fase 1.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Definir el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Crear una directiva ICR la fase 1.

  7. Establecer el modo de directiva ICR fase 1.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de directivas ICR fase 1.

  10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.

  11. Defina la referencia de directiva ICR fase 1.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta relativa a la fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Crear la Directiva de fase 2 de IPsec.

  6. Especifique la referencia a la propuesta de la fase 2 de IPsec.

  7. Especificar IPsec PFS de fase 2 para utilizar Diffie-Hellman Group 2.

  8. Especifique el ICR puerta de enlace.

  9. Especifique la directiva IPsec de fase 2.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar las políticas de seguridad:

  1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

  2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de confianza.

  3. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

  4. Reordenar las políticas de seguridad para que la Directiva de seguridad de VPN-TR-untr esté situada por encima de la Directiva permit-any Security.

Resultados

Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar la información de MSS de TCP:

  1. Configure TCP-MSS Information.

Resultados

Desde el modo de configuración, escriba el show security flow comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del dispositivo serie SSG

Configuración rápida de CLI

Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más información acerca de cómo configurar dispositivos serie SSG, consulte la Guía de referencia de Conceptos y ejemplos de ScreenOS,que se encuentra en la https://www.juniper.net/documentation.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación commit , entrar desde el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación del estado de la fase 1 ICR

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a un host en la red 192.168.168/24. En el caso de las VPN basadas en políticas, un host independiente debe generar el tráfico; el tráfico iniciado desde el dispositivo serie SRX no coincidirá con la directiva VPN. Recomendamos que el tráfico de prueba sea de un dispositivo independiente en un extremo de la VPN a otro dispositivo del otro extremo de la VPN. Por ejemplo, inicie ping desde 192.168.10.10 a 192.168.168.10.

En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.

Efectos

El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA) activas de ICR fase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show security ike security-associations index detail más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota es correcta.

  • Estado

    • UP: se estableció la SA de fase 1.

    • ABAJO: se hubo un problema al establecer la SA de fase 1.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • ICR parámetros de políticas

  • Información de claves previamente compartidas

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)

El show security ike security-associations index 1 detail comando enumera la información adicional acerca de la Asociación de seguridad con el número de índice 1:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de rol de iniciador y de contestador

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobación del estado de la fase 2 de IPsec

Purpose

Compruebe el estado de la fase 2 de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.

Efectos

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • El número de identificación es 2. Utilice este valor con el show security ipsec security-associations index comando para obtener más información acerca de esta SA en particular.

  • Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 3565/unlim indica que la duración de la fase 2 caduca en 3565 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si la supervisión de VPN está habilitada, se enumeran U (arriba) o D (abajo).

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

La salida del show security ipsec security-associations index 16384 detail comando muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID. de proxy de la SA.

    Una de las causas más frecuentes de un error de fase 2 es que no coincidan los IDENTIFICADOres de proxy. Para las VPN basadas en políticas, el ID del proxy se deriva de la Directiva de seguridad. La dirección local y la dirección remota se derivan de las entradas de la libreta de direcciones, y el servicio se deriva de la aplicación configurada para la Directiva. Si la fase 2 falla debido a un ID de proxy, puede utilizar la Directiva para confirmar qué entradas de la libreta de direcciones están configuradas. Compruebe que las direcciones coinciden con la información enviada. Compruebe el servicio para asegurarse de que los puertos coinciden con la información enviada.

Revisar las estadísticas y los errores de una asociación de seguridad IPsec

Purpose

Revisar los contadores ESP y los encabezados de autenticación, así como los errores de una asociación de seguridad IPsec.

Intervención

Desde el modo operativo, escriba show security ipsec statistics index index_number el comando utilizando el número de índice de la VPN cuyas estadísticas desea ver.

También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los errores de todas las SA.

Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.

Efectos

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el comando varias veces para confirmar que los contadores de paquetes cifrados y descifrados se show security ipsec statistics incrementan. También debe comprobar si el resto de los contadores de errores se están incrementando.