Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN IPsec basadas en políticas

Una VPN basada en políticas es una configuración en la que se especifica un túnel VPN IPsec creado entre dos puntos finales dentro de la propia política con una acción de política para el tráfico de tránsito que cumple los criterios de coincidencia de la política.

Descripción de VPN IPsec basadas en políticas

Para VPN IPsec basadas en políticas, una política de seguridad especifica como su acción el túnel VPN que se utilizará para el tráfico de tránsito que cumpla los criterios de coincidencia de la política. Una VPN se configura independientemente de una instrucción de política. La instrucción de política hace referencia a la VPN por nombre para especificar el tráfico al que se permite el acceso al túnel. Para VPN basadas en políticas, cada política crea una asociación de seguridad (SA) IPsec individual con el par remoto, cada una de las cuales cuenta como un túnel VPN individual. Por ejemplo, si una política contiene una dirección de origen de grupo y una dirección de destino de grupo, cada vez que uno de los usuarios que pertenecen al conjunto de direcciones intenta comunicarse con cualquiera de los hosts especificados como dirección de destino, se negocia y establece un nuevo túnel. Dado que cada túnel requiere su propio proceso de negociación y un par de SA independientes, el uso de VPN IPsec basadas en políticas puede ser más intensivo en recursos que las VPN basadas en rutas.

Ejemplos de dónde se pueden utilizar VPN basadas en políticas:

  • Está implementando una VPN de marcado.

  • Las VPN basadas en políticas le permiten dirigir el tráfico en función de las políticas de firewall.

Recomendamos que use VPN basada en rutas cuando desee configurar una VPN entre varios sitios remotos. Las VPN basadas en rutas pueden proporcionar las mismas capacidades que las VPN basadas en políticas.

Ejemplo: Configuración de una VPN basada en políticas

En este ejemplo, se muestra cómo configurar una VPN IPsec basada en políticas para permitir que los datos se transfieran de forma segura entre dos sitios.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Cualquier dispositivo serie SRX

    • Actualizado y revalidado mediante vSRX en Junos OS versión 20.4R1.
Nota:

¿Está interesado en obtener experiencia práctica con los temas y las operaciones que se tratan en esta guía? Visite la demostración basada en políticas de IPsec en Los laboratorios virtuales de Juniper Networks y reserve su sandbox gratuito hoy mismo. Encontrará el entorno limitado basado en políticas VPN IPsec en la categoría Seguridad.

Antes de comenzar, lea Descripción general de IPsec.

Descripción general

En este ejemplo, configure una VPN basada en políticas en SRX1 y SRX2. Host1 y Host2 usan la VPN para enviar tráfico de forma segura a través de Internet entre ambos hosts.

Figura 1 muestra un ejemplo de una topología VPN basada en políticas.

Figura 1: Topología VPN basada en políticas Topología VPN basada en políticas

La negociación de túnel IPsec ICR se produce en dos fases. En la fase 1, los participantes establecen un canal seguro en el que negociar la asociación de seguridad IPsec (SA). En la fase 2, los participantes negocian la SA de IPsec para autenticar el tráfico que fluye a través del túnel. Del mismo modo que hay dos fases para la negociación del túnel, hay dos fases para la configuración del túnel.

En este ejemplo, puede configurar interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A continuación, configure la fase 1 de IKE, la fase 2 de IPsec, la política de seguridad y los parámetros TCP-MSS. Vea Tabla 1 a través de Tabla 5.

Tabla 1: Información de interfaz, ruta estática e zona de seguridad para SRX1

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

Zonas de seguridad

Confianza

  • La interfaz ge-0/0/0.0 está enlazada a esta zona.

 

Untrust

  • La interfaz ge-0/0/1.0 está enlazada a esta zona.

Rutas estáticas

0.0.0.0/0

  • El siguiente salto es 172.16.13.2.

Tabla 2: Parámetros de configuración de fase 1 de ICR

Característica

Nombre

Parámetros de configuración

Propuesta

Estándar

  • Método de autenticación: claves previamente compartidas

Política

ICR-POL

  • Modo: Principal

  • Referencia de propuesta: Estándar

  • Método de autenticación de política de fase 1 de ICR: texto ASCII de clave previamente compartida

Gateway

IKE-GW

  • Referencia de política de ICR: ICR-POL

  • Interfaz externa: ge-0/0/1

  • Dirección de puerta de enlace: 172.16.23.1

Tabla 3: Parámetros de configuración de fase 2 IPsec

Característica

Nombre

Parámetros de configuración

Propuesta

Estándar

  • Uso de la configuración predeterminada

Política

IPSEC-POL

  • Referencia de propuesta: Estándar

VPN

VPN-to-Host2

  • Referencia de puerta de enlace ICR: IKE-GW

  • Referencia de política IPsec: IPSEC-POL

  • establecer túneles de inmediato
Tabla 4: Parámetros de configuración de política de seguridad

Propósito

Nombre

Parámetros de configuración

Esta política de seguridad permite el tráfico desde la zona de confianza hasta la zona de desconfianza.

VPN-OUT

  • Criterios de coincidencia:

    • dirección de origen Host1-Net

    • dirección de destino Host2-Net

    • aplicación a cualquier

  • Permitir acción: túnel ipsec-vpn VPN-to-Host2

Esta política de seguridad permite el tráfico desde la zona de desconfianza hasta la zona de confianza.

VPN-IN

  • Criterios de coincidencia:

    • dirección de origen Host2-Net

    • dirección de destino Host1-Net

    • aplicación a cualquier

  • Permitir acción: túnel ipsec-vpn VPN-to-Host2

Esta política de seguridad permite todo el tráfico desde la zona de confianza hasta la zona de desconfianza.

Debe poner la política VPN-OUT antes de la política de seguridad de permiso predeterminado. Junos OS realiza una búsqueda de política de seguridad a partir de la parte superior de la lista. Si la política de permiso predeterminado viene antes de la política de VPN-OUT, todo el tráfico de la zona de confianza coincide con la política de permiso predeterminado y se permite. Por lo tanto, ningún tráfico coincidirá con la política de VPN-OUT.

permiso predeterminado

  • Criterios de coincidencia:

    • dirección de origen de cualquier

    • origen-destino cualquier

    • aplicación a cualquier

  • Acción: Permiso

Tabla 5: Parámetros de configuración TCP-MSS

Propósito

Parámetros de configuración

TCP-MSS se negocia como parte del protocolo de enlace de tres vías TCP y limita el tamaño máximo de un segmento TCP para adaptarse mejor a los límites de la unidad máxima de transmisión (MTU) en una red. Esto es especialmente importante para el tráfico VPN, ya que la sobrecarga de encapsulación IPsec, junto con la sobrecarga de IP y trama, puede hacer que el paquete resultante de carga de seguridad de encapsulación (ESP) supere la MTU de la interfaz física, lo que provoca fragmentación. La fragmentación da como resultado un mayor uso del ancho de banda y los recursos del dispositivo.

Recomendamos un valor de 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o más. Es posible que tenga que experimentar con diferentes valores TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que deba cambiar el valor si cualquier dispositivo de la ruta tiene una MTU inferior, o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Configuración

Configuración de la información básica de la red y la zona de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI.

Para configurar la información de la interfaz, la ruta estática y la zona de seguridad:

  1. Configure las interfaces.

  2. Configure las rutas estáticas.

  3. Asigne la interfaz orientada a Internet a la zona de seguridad de desconfianza.

  4. Especifique los servicios del sistema permitidos para la zona de seguridad de desconfianza.

  5. Asigne la interfaz orientada a Host1 a la zona de seguridad de confianza.

  6. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show routing-optionsy show security zones . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de IKE

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI.

Para configurar IKE:

  1. Cree la propuesta de ICR.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Cree la política de ICR.

  4. Establezca el modo de política de ICR.

  5. Especifique una referencia a la propuesta de ICR.

  6. Defina el método de autenticación de política ICR.

  7. Cree la puerta de enlace IKE y defina su interfaz externa.

  8. Defina la dirección de puerta de enlace de IKE.

  9. Defina la referencia de política de ICR.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI.

Para configurar IPsec:

  1. Cree la propuesta de IPsec.

  2. Cree la política IPsec.

  3. Especifique la referencia de propuesta de IPsec.

  4. Especifique la puerta de enlace IKE.

  5. Especifique la política IPsec.

  6. Configure el túnel para establecer de inmediato.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de la CLI.

Para configurar políticas de seguridad:

  1. Cree entradas de libreta de direcciones para las redes que se usarán en las políticas de seguridad.

  2. Cree la política de seguridad para que coincida en el tráfico de Host1 en la zona de confianza a Host2 en la zona de desconfianza.

  3. Cree la política de seguridad para permitir el resto del tráfico a Internet desde la zona de confianza hasta la zona de desconfianza.

  4. Cree una política de seguridad para permitir el tráfico de Host2 en la zona de desconfianza a Host1 en la zona de confianza.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar la información de TCP-MSS:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, escriba el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de SRX2

Configuración rápida de CLI

Como referencia, se proporciona la configuración de SRX2.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Verificación

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificar el estado de IKE

Propósito

Verifique el estado de IKE.

Acción

Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.

Significado

El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA) de fase 1 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración.

Si se enumeran las SA, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE, que puede usar en el show security ike security-associations index detail comando para obtener más información sobre la SA.

  • Dirección remota: compruebe que la dirección IP remota sea correcta.

  • Estado

    • UP: se ha establecido la SA de fase 1.

    • ABAJO: hubo un problema al establecer la SA de fase 1.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos sean correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)

  • Parámetros de política de ICR

  • Información de clave previamente compartida

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)

El show security ike security-associations index 1859361 detail comando enumera información adicional acerca de la asociación de seguridad con un número de índice de 1859361:

  • Algoritmos de autenticación y cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (se pueden utilizar para comprobar que el tráfico fluye correctamente en ambas direcciones)

  • Información del rol del iniciador y del respondedor

    La solución de problemas se realiza mejor en el par mediante el rol de respondedor.

  • Número de SA IPsec creadas

  • Número de negociaciones de fase 2 en curso

Verificar el estado de fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.

Significado

El resultado del show security ipsec security-associations comando enumera la siguiente información:

  • El número de ID es 2. Utilice este valor con el show security ipsec security-associations index comando para obtener más información acerca de esta SA en particular.

  • Hay un par SA IPsec que usa el puerto 500, lo que indica que no se implementa ningún recorrido TDR. (El recorrido TDR utiliza el puerto 4500 u otro puerto aleatorio de número alto.)

  • Las SPI, la vida útil (en segundos) y los límites de uso (o tamaño de vida útil en KB) se muestran para ambas direcciones. El valor 921/unlim indica que la duración de la fase 2 caduca en 921 segundos y que no se ha especificado ningún tamaño de vida útil, lo que indica que es ilimitado. La vida útil de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, se enumera U (arriba) o D (abajo).

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado del show security ipsec security-associations index 2 detail comando enumera la siguiente información:

  • La identidad local y la identidad remota conforman el ID de proxy para la SA.

    Una discordancia de ID de proxy es una de las razones más comunes para una falla de fase 2. Para VPN basadas en políticas, el ID de proxy se deriva de la política de seguridad. La dirección local y la dirección remota se derivan de las entradas de la libreta de direcciones, y el servicio se deriva de la aplicación configurada para la política. Si se produce un error en la fase 2 debido a una discordancia de ID de proxy, puede usar la política para confirmar qué entradas de libreta de direcciones están configuradas. Compruebe que las direcciones coincidan con la información que se envía. Compruebe el servicio para asegurarse de que los puertos coincidan con la información que se envía.

Pruebe el flujo de tráfico a través de la VPN

Propósito

Verifique el flujo de tráfico a través de la VPN.

Acción

Utilice el ping comando del dispositivo Host1 para probar el flujo de tráfico a Host2.

Significado

Si el ping comando falla desde Host1, puede haber un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y descifrado de paquetes ESP.

Revisión de estadísticas y errores para una asociación de seguridad IPsec

Propósito

Revise los contadores y errores del encabezado de autenticación y ESP para una asociación de seguridad IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec statistics index index_number comando mediante el número de índice de la VPN para la que desea ver estadísticas.

También puede usar el show security ipsec statistics comando para revisar estadísticas y errores de todas las SA.

Para borrar todas las estadísticas de IPsec, use el clear security ipsec statistics comando.

Significado

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar si los otros contadores de errores se incrementan.