Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN de acceso remoto con cliente de acceso remoto NCP exclusivo

El cliente de acceso remoto NCP exclusivo es parte de la solución de acceso remoto NCP en modo exclusivo para las puertas de enlace de Juniper serie SRX. El cliente VPN solo está disponible con la administración de acceso remoto NCP exclusiva. Utilice el cliente exclusivo NCP para establecer vínculos de datos seguros basados en IPsec desde cualquier ubicación cuando se conecte con puertas de enlace de serie SRX.

Descripción de VPN de IPsec con cliente de acceso remoto NCP exclusivo

En esta sección se describe la compatibilidad con VPN de IPsec en dispositivos serie SRX para software cliente NCP de acceso remoto exclusivo.

Cliente de acceso remoto NCP de modo exclusivo

Los usuarios que ejecuten software cliente de acceso remoto NCP exclusivo en dispositivos con Windows y MAC OS pueden establecer conexiones IKEv1 o VPN de IPsec para IKEv2 con dispositivos de serie SRX. El software de cliente de acceso remoto exclusivo de NCP se puede descargar desde los Productos NCP.

Licencias

Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Para otros usuarios, es necesario disponer de una licencia. Póngase en contacto con Juniper Networks representante de su red para obtener todas las licencias de acceso remoto.

La licencia se basa en el número de usuarios. Por ejemplo, si el número de licencias instaladas es para 100 usuarios, entonces 100 usuarios distintos pueden establecer conexiones VPN. Debido a los selectores de tráfico, cada usuario puede establecer varios túneles. Cuando un usuario se desconecta, su licencia se libera un minuto después de que el ICR y las asociaciones de seguridad (SA) de IPsec expiren.

La aplicación de licencias solo se comprueba después de que se haya completado la negociación de la fase 2. Esto significa que un usuario de acceso remoto puede conectarse al dispositivo serie SRX y se pueden establecer SA ICR e IPsec, pero si el usuario supera el límite de usuarios con licencia, el usuario quedará desconectado.

Las licencias de las instancias de vSRX se basan en la suscripción: los usuarios de acceso remoto conectados no se desconectarán inmediatamente cuando expire una licencia instalada. Cuando un usuario de acceso remoto se desconecta, y el ICR correspondiente y las SA de IPsec caducan, la posterior conexión del usuario depende de si la licencia instalada actualmente ha caducado o no.

AutoVPN

El cliente de acceso remoto NCP y exclusivo es compatible con AutoVPN en el modo de interfaz de túnel seguro punto a punto. AutoVPN sólo se admite en VPN de IPsec basadas en rutas en el dispositivo serie SRX.

Selectores de tráfico

Los selectores de tráfico configurados en el dispositivo de serie SRX y el cliente de NCP determinan el tráfico de cliente que se envía a través del túnel VPN de IPsec. El tráfico entrante y saliente del túnel solo se permite para los selectores de tráfico negociados. Si la búsqueda de ruta para la dirección de destino de un paquete apunta a una interfaz st0 (en la cual están configurados los selectores de tráfico) y el selector de tráfico del paquete no coincide con el selector de tráfico negociado, el paquete se descarta. Con el cliente de acceso remoto exclusivo NCP se admiten las SA de IPsec de varias fases y la inserción de ruta automática (ARI). No se admite el selector de tráfico coincidencia flexible con puerto y protocolos. Para esta característica, la dirección remota del selector de tráfico debe ser 0.0.0.0/0.

En muchos casos, todo el tráfico procedente de los clientes de acceso remoto se envía a través de túneles VPN. La dirección local configurada en el selector de tráfico puede ser 0.0.0.0/0 o una dirección específica, como se explica en las secciones siguientes.

Para las conexiones cliente de acceso remoto NCP exclusivas se admite la configuración de un selector de tráfico en el dispositivo de serie SRX con dirección remota 0.0.0.0/0. Una vez completada la negociación VPN, se espera que la dirección remota del selector de tráfico sea una sola dirección IP (la dirección del cliente de acceso remoto asignada por un servidor RADIUS o el conjunto de direcciones locales).

Túnel dividido

La tunelización dividida utiliza un prefijo más corto que 0.0.0.0/0 como dirección del recurso protegido para la dirección local en un selector de tráfico configurado en el dispositivo serie SRX. Se puede configurar el correspondiente selector de tráfico en el cliente de acceso remoto. El dispositivo serie SRX permite el tráfico en el túnel VPN que coincide con los resultados de la coincidencia flexible de ambos selectores de tráfico. Si el selector de tráfico configurado en el cliente de acceso remoto no puede hacer coincidir con el selector de tráfico configurado en el dispositivo de serie SRX, la negociación de túnel fracasará. Para IKEv1, las direcciones locales y remotas de la configuración del selector de tráfico del cliente deben ser las mismas direcciones o un subconjunto de direcciones del correspondiente selector de tráfico configurado en el dispositivo serie SRX.

Varias subredes

En el dispositivo de serie SRX, puede configurarse un único selector de tráfico para cada subred protegida. Las subredes no se pueden superponer. En el cliente de acceso remoto NCP en modo exclusivo, debe configurarse un selector de tráfico para cada selector de tráfico configurado en el dispositivo de serie SRX. Las direcciones que se configuran en la ventana de túnel dividido del cliente de acceso remoto NCP exclusivo se utilizan como el selector de tráfico remoto del cliente; Estas direcciones deben ser las mismas direcciones o un subconjunto de direcciones del correspondiente selector de tráfico configurado en el dispositivo serie SRX. Se crea un par de SA IPsec para cada selector de tráfico.

Autenticación de cliente de acceso remoto NCP exclusivo

Existen dos formas de autenticación extendida del cliente de acceso remoto NCP exclusivo en función de la versión ICR del cliente:

  • Servidor NCP IKEv1 autenticación exclusiva de cliente de acceso remoto es compatible con XAuth mediante el uso de RADIUS Server o un perfil de acceso local. En el caso de las conexiones de acceso remoto IKEv1, las claves previamente compartidas se utilizan para la autenticación ICR la fase 1. Autenticación extendida (XAuth) se utiliza para autenticar el usuario de acceso remoto. El dispositivo serie SRX debe configurarse para ICR el modo de borrado intenso.

    Para el cliente de acceso remoto exclusivo NCP IKEv1, se admite la autenticación de clave previamente compartida con AutoVPN. Para las implementaciones AutoVPN que no utilizan autenticación basada en usuario, solo se admite la autenticación de certificados.

  • La autenticación de cliente de acceso remoto exclusivo NCP IKEv2 requiere un servidor RADIUS que admita EAP. El dispositivo serie SRX actúa como autenticador de paso a través para retransmitir mensajes EAP entre el cliente de acceso remoto NCP exclusivo y el servidor RADIUS. Se admiten los siguientes tipos de autenticación de EAP:

    • EAP-MSCHAPv2

      El servidor de RADIUS debe generar una clave de sesión principal para EAP-MSCHAPv2.

    • EAP-MD5

    • EAP-TLS

    Para el cliente NCP de acceso remoto exclusivo de IKEv2, se utiliza un certificado digital para autenticar el dispositivo serie SRX. Para autenticar el cliente de acceso remoto se utiliza el protocolo de autenticación extensible (EAP).

Atributo de cliente de acceso remoto y asignación de direcciones IP

Asignación de atributos

Para clientes de acceso remoto IKEv1 o IKEv2, los atributos se pueden asignar a través de un servidor RADIUS o a través de la configuración de los atributos de red locales. Si se utiliza un servidor RADIUS para la autenticación pero no se asigna ningún atributo de red, los atributos de red (incluidas las direcciones IP) pueden configurarse localmente si es necesario.

Los siguientes atributos de cliente se basan en RFC 2865, Identificador de redes privadas virtuales y se admiten con cliente de acceso remoto exclusivo IKEv1 e IKEv2 NCP:

  • Dirección IP entramada

  • Máscara de la m de IP con trama

Se admiten los siguientes atributos específicos de proveedor de Juniper (VSA) con IKEv1 y el cliente de acceso remoto exclusivo NCP de IKEv2:

  • Juniper-principal-DNS

  • Juniper-principal-WINS

  • DNS Juniper-secundario (solo disponible con IKEv2)

  • Juniper-secundaria-WINS (solo disponible con IKEv2)

No se admite VSA Juniper-local-Group-Name.

Asignación de direcciones IP

Si se asigna una dirección IP desde el conjunto de direcciones locales y por un servidor RADIUS, prevalecerá la dirección IP asignada por el servidor RADIUS. Si el servidor RADIUS no devuelve una dirección IP y hay un grupo de direcciones locales configurado por el usuario, se asigna una dirección IP al cliente remoto desde el grupo local.

El número de direcciones del grupo de direcciones locales o RADIUS conjunto de direcciones de servidor debe ser mayor que el número de usuarios clientes de acceso remoto. Esto se debe a que cuando un usuario se desconecta, puede tardar hasta un minuto en cerrarse la sesión del usuario.

Cuando se asigna una dirección IP desde un servidor de RADIUS externo o un conjunto de direcciones locales, se pasa una dirección IP con una máscara de 32 bits al cliente de acceso remoto NCP exclusivo. Después de establecer el túnel, la inserción automática de ruta (ARI) inserta automáticamente una ruta estática a la dirección IP del cliente remoto para que el tráfico desde detrás del dispositivo de la serie SRX se pueda enviar al túnel VPN a la dirección IP del cliente.

Es posible que los selectores de tráfico configurados no cubran las direcciones IP asignadas por el servidor RADIUS o un conjunto de direcciones locales. En este caso, es posible que un cliente remoto no pueda alcanzar una dirección IP para otro cliente remoto de la subred a través de un túnel VPN. Un selector de tráfico debe configurarse de forma explícita que coincida con la dirección IP asignada al otro cliente remoto por el servidor RADIUS o el conjunto de direcciones locales.

Características compatibles

Las siguientes características son compatibles con el dispositivo de serie SRX con el cliente de acceso remoto exclusivo NCP:

  • Inicio del tráfico desde el dispositivo de serie SRX, así como el cliente de acceso remoto exclusivo NCP

  • Clientes de acceso remoto que se encuentran detrás de un dispositivo TDR (TDR-T)

  • Detección de pares de tráfico muerto

  • Configuración del clúster del chasis del dispositivo serie SRX

ADVERTENCIAS

Las siguientes características no son compatibles con el dispositivo de serie SRX con el cliente de acceso remoto exclusivo NCP:

  • Protocolos de enrutamiento

  • AutoVPN con la interfaz st0 en modo punto a multipunto

  • VPN de detección automática (ADVPN)

  • EAP IKEv2 con claves previamente compartidas

    El cliente de acceso remoto exclusivo NCP IKEv2 debe usar certificados para autenticar el dispositivo serie SRX.

  • VPN basada en políticas

  • Tráfico IPv6

  • Supervisión de VPN

  • Enlace de túnel de próximo salto (NHTB), tanto automático como manual

  • Varios selectores de tráfico en la negociación

  • Los selectores de tráfico recibidos del cliente de acceso remoto exclusivo NCP en el mismo enrutador virtual no deben contener direcciones IP superpuestas

Descripción de VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo

En muchos entornos de zona activa pública, el tráfico UDP se bloquea mientras que las conexiones TCP a través del puerto 443 se permiten normalmente. Para estos entornos, serie SRX dispositivos pueden admitir VPN de acceso remoto mediante la encapsulación de mensajes IPsec en una conexión TCP. Esta implementación es compatible con el cliente de acceso remoto NCP de otro fabricante. En esta sección se describe la compatibilidad de clientes de acceso remoto NCP exclusivo en dispositivos serie SRX.

Ventajas de las VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo

  • El acceso remoto seguro se garantiza incluso cuando un dispositivo entre el cliente y la puerta de enlace se bloquea Intercambio de claves por red (ICR) (puerto UDP 500).

  • Los usuarios conservan un acceso seguro a las aplicaciones y recursos empresariales en todos los entornos de trabajo.

Cliente de acceso remoto NCP de modo exclusivo

Los usuarios que ejecutan software cliente NCP de acceso remoto exclusivo en Windows, macOS, Apple iOS y dispositivos Android pueden establecer conexiones TCP a través del puerto 443 con dispositivos serie SRX para intercambiar el tráfico IPsec encapsulado.

El cliente de acceso remoto NCP en modo exclusivo se ejecuta en cualquiera de los dos modos siguientes:

  • El buscador de rutas NCP v1, que admite mensajes IPsec encapsulados en una conexión TCP a través del puerto 443

  • El buscador de rutas NCP V2, que admite mensajes IPsec con una conexión SSL/TLS (NCP path Finder V2 utiliza TLSv 1.0).

El protocolo de enlace SSL correcto se realiza con certificados RSA. Los mensajes IPsec se cifran con las claves intercambiadas durante el protocolo de enlace SSL. Esto da como resultado un doble cifrado, una para el túnel SSL y otra para el túnel IPsec.

Para la compatibilidad con el buscador de rutas NCP V2, los certificados de RSA deben cargarse en el dispositivo de serie SRX y un perfil de terminación SSL que haga referencia al certificado que debe configurarse.

El cliente de acceso remoto NCP en modo exclusivo proporciona un mecanismo de reserva en caso de que se produzcan errores en intentos de conexión IPsec regulares debido a que los servidores proxy o firewall bloquean el tráfico IPsec. El modo de buscador de rutas de NCP V2 es una mejora que ofrece una comunicación TLS completa, que no quedará bloqueada por servidores de seguridad o proxies de nivel de aplicación muy restrictivos. Si no se puede establecer una conexión IPsec normal, el cliente de acceso remoto NCP exclusivo cambiará automáticamente al modo de buscador de rutas de NCP v1. Si el cliente sigue sin poder conectarse a la puerta de enlace, NCP habilitará el modo de buscador de rutas de NCP V2 mediante la negociación TLS completa.

Licencias

Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Una licencia debe comprarse e instalarse para usuarios simultáneos adicionales.

Funcionamiento

En un dispositivo serie SRX, un Perfil de encapsulación TCP define la operación de encapsulado de datos para los clientes de acceso remoto. Se pueden configurar varios perfiles de encapsulación TCP para que controlen distintos conjuntos de clientes. Para cada perfil, se configura la siguiente información:

  • Nombre del perfil.

  • Registro opcional de conexiones de clientes de acceso remoto.

  • Opciones de seguimiento.

  • Perfil de terminación SSL para conexiones SSL.

Las conexiones TCP de cliente de acceso remoto exclusivo NCP se aceptan en el puerto 443 del dispositivo serie SRX.

El perfil de encapsulación TCP está configurado con tcp-encap la instrucción en eledit securitynivel de jerarquía []. A continuación, el perfil de encapsulación se tcp-encap-profile especifica con la instrucciónedit security ike gateway gateway-nameen el nivel de jerarquía []. Incluye el perfil de encapsulación TCP en la configuración de puerta de enlace de ICR. Por ejemplo:

Características compatibles

Las siguientes características son compatibles con un dispositivo de serie SRX con un cliente de acceso remoto NCP exclusivo:

  • AutoVPN en modo punto a punto con túneles IPsec basados en los selectores de tráfico

  • Inicio del tráfico desde dispositivos detrás de la puerta de enlace en un dispositivo serie SRX

  • Detección de pares de tráfico muerto

  • Configuración del clúster del chasis de un dispositivo serie SRX

ADVERTENCIAS

Las conexiones TCP de clientes de acceso remoto NCP y exclusivos utilizan el puerto 443 en dispositivos serie SRX. El puerto de administración de J-web Device Management debe cambiarse del puerto predeterminado 443, TCP-encap debe estar configurado para los servicios del sistema de entrada de host. Utilice el set security zones security-zone zone host-inbound-traffic system-services tcp-encap comando. (También debe configurarse el ICR para servicios del sistema de entrada de set security zones security-zone zone host-inbound-traffic system-services ike host mediante el comando.)

Es posible que los túneles que utilizan conexiones TCP no sobrevivan la emisión si el tiempo de espera de la detección de pares inactivos (DPD) no es suficientemente grande. Para sobrevivir a la emisión, aumente el tiempo de espera DPD a un valor superior a 120 segundos. El tiempo de espera DPD es un producto del intervalo DPD y del umbral configurados. Por ejemplo, si el intervalo DPD es 32 y el umbral es 4, el tiempo de espera es 128.

La configuración predeterminada de DPD en el cliente de acceso remoto NCP en modo exclusivo especifica el envío de mensajes a intervalos de 20 segundos durante un máximo de ocho veces. Cuando se produce una conmutación por error del clúster del chasis, los dispositivos serie SRX podrían no recuperarse dentro de los parámetros especificados por la configuración DPD y el túnel deja de funcionar. En este caso, aumente el intervalo DPD en el cliente de acceso remoto exclusivo NCP a 60 segundos.

TDR-T se deshabilita durante la negociación con clientes en los que la configuración usa TCP-encap, puesto que TDR-T no es necesario para estos túneles.

Las siguientes características no se admiten en un dispositivo serie SRX con clientes de acceso remoto NCP exclusivos:

  • Protocolos de enrutamiento

  • AutoVPN con la interfaz st0 en modo punto a multipunto

  • VPN de detección automática (ADVPN)

  • VPN basada en políticas

  • Tráfico IPv6

  • Supervisión de VPN

  • Enlace de túnel de próximo salto (NHTB), tanto automático como manual

Ejemplo Configuración del dispositivo de serie SRX para clientes de acceso remoto NCP y exclusivos

En este ejemplo se muestra cómo configurar un dispositivo serie SRX o una instancia de vSRX para admitir conexiones VPN de IPsec IKEv2 desde clientes de acceso remoto exclusivo NCP. La configuración también admite el tráfico encapsulado TCP de clientes de acceso remoto exclusivos NCP.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dispositivo serie SRX compatible o instancia vSRX que se ejecuta Junos OS Release 15.1-D80 o posterior.

  • El software cliente NCP de acceso remoto exclusivo debe descargarse en los dispositivos de usuario compatibles.

Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Una licencia debe comprarse e instalarse para usuarios adicionales. Comuníquese con su Juniper Networks representante para obtener todas las licencias de acceso remoto

Antes de empezar:

  • En el dispositivo serie SRX:

    • Configure las interfaces de red.

    Las conexiones TCP de clientes de acceso remoto NCP y exclusivos utilizan el puerto 443 en dispositivos serie SRX. La administración de dispositivos en las conexiones TCP, como J-Web, puede usar el puerto 443 en dispositivos serie SRX. El servicio del sistema de encapsulación TCP debe configurarse para el tráfico de entrada de host en la zona en la que se reciben conexiones de cliente de acceso remoto exclusivo NCP (la zona de no confianza en este ejemplo). Si J-Web se utiliza en el puerto 443, el servicio de sistema de administración de Web debe configurarse para el tráfico de entrada de host en la zona requerida.

  • Configure el cliente de acceso remoto NCP exclusivo. Consulte la documentación del cliente de acceso remoto NCP exclusivo para obtener información sobre cómo hacerlo.

    La configuración del perfil de cliente NCP de acceso remoto único debe coincidir con la configuración VPN del dispositivo de serie SRX.

  • En este ejemplo, un servidor de RADIUS externo (como un servidor de Active Directory) autentica a los usuarios del cliente de acceso remoto IKEv2 exclusivo mediante el protocolo EAP-TLS. En este ejemplo, el servidor RADIUS está configurado con la dirección IP 192.0.2.12. Consulte la documentación del servidor de RADIUS para obtener información sobre cómo configurar la autenticación de usuario.

Descripción general

En este ejemplo, los usuarios del cliente de acceso remoto IKEv2 exclusivo se autentican con un servidor de RADIUS externo mediante EAP-TLS. A un cliente autenticado se le asigna una dirección IP y un servidor DNS principal de un conjunto de direcciones locales configurado en el dispositivo de serie SRX. El selector de tráfico se configura con 0.0.0.0/0 para las direcciones locales y remotas, lo que significa que se permite cualquier tráfico en el túnel.

La encapsulación TCP y los ICR servicios del sistema de entrada de host se han configurado en la zona de seguridad de no confianza. Si J-Web se utiliza en el puerto 443, también debe configurarse el servicio de sistema de entrada de host HTTPS.

En este ejemplo, las políticas de seguridad permiten todo el tráfico. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción.

Tabla 1muestra los valores ICR e IPSec configurados en el dispositivo serie SRX para admitir conexiones de cliente de acceso remoto NCP exclusivo en este ejemplo.

Tabla 1: Opciones de ICR e IPSec en el dispositivo serie SRX para conexiones cliente de acceso remoto NCP exclusivas

,

Valor

ICR propuesta:

Método de autenticación

firmas de RSA

Grupo Diffie-Hellman (DH)

group19

Algoritmo de cifrado

aes-256-gcm

Directiva de ICR:

Certificado

certificado local

Puerta de enlace de ICR:

Manera

usuario a nombre de host

Tipo de usuario ICR

Group-IKE-ID

Versi

v2-only

Propuesta de IPsec:

Protocolo

sensorial

Algoritmo de cifrado

aes-256-gcm

Directiva IPsec:

Grupo de confidencialidad directa perfecta (PFS)

group19

Topología

Figura 1muestra las conexiones de red en este ejemplo.

Figura 1: Conexión de cliente remoto NCP exclusivo a la puerta de enlace VPN de serie SRXConexión de cliente remoto NCP exclusivo a la puerta de enlace VPN de serie SRX

Automática

Inscribir certificados en el dispositivo serie SRX

Procedimiento paso a paso

En este ejemplo, el primer paso es inscribir un certificado de una entidad de certificación (CA) y un certificado local en el dispositivo serie SRX. El certificado local se utiliza para autenticar el dispositivo de serie SRX a los clientes remotos que utilizan una entidad emisora de certificados de Microsoft. De lo contrario, la dirección URL siguiente será diferente. Tenga en cuenta que el ejemplo siguiente requiere que el servidor de la entidad emisora de certificados admita SCEP.

  1. Configure el perfil de CA.

    La configuración del perfil de la entidad emisora depende del servidor de la entidad emisora de certificados utilizado. En este ejemplo, la CRL se utiliza para comprobar la revocación de certificados. Utilice las direcciones URL de inscripción y CRL adecuadas para su entorno.

    Para poder continuar, debe confirmarse la configuración del perfil de la entidad emisora.

  2. Inscriba el certificado de la entidad emisora.

    Escriba yes en el indicador para cargar el AC certificado, si el valor es de confianza.

  3. Compruebe el certificado de la entidad emisora comprobando su estado de revocación.

  4. Generar un par de claves para el certificado local.

  5. Inscriba el certificado local. En este ejemplo, el certificado se inscribe con el protocolo de inscripción de certificados simple (SCEP).

  6. Compruebe el certificado local comprobando su estado de revocación.

Configurar el dispositivo serie SRX para clientes remotos

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el dispositivo serie SRX de manera que admita los clientes de acceso remoto NCP exclusivo:

  1. Configure el grupo de direcciones locales.

  2. Configure el perfil de acceso local.

  3. Configure el perfil de encapsulación TCP.

  4. Crear Perfil de terminación SSL.

    Cuando el perfil de finalización SSL no está configurado, el único modo de buscador de rutas NCP V1 es compatible. La compatibilidad con NCP path Finder V2 requiere una terminación SSL perfil configurado. El buscador de rutas NCP v1 se admite cuando el perfil de terminación SSL está configurado.

  5. Adjunte el perfil SSL al perfil TCP-encap.

  6. Configurar interfaces.

  7. Configure las ICR propuesta, Directiva y puertas de enlace.

  8. Configure la propuesta, Directiva y VPN de IPsec.

  9. Configurar zonas.

  10. Configure una libreta de direcciones para las direcciones IP asignadas a los usuarios de acceso remoto.

  11. Configurar políticas de seguridad.

Resultados

Desde el modo de configuración, escriba los show access comandos y show security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación de que se han establecido ICR SA

Purpose

Muestra información acerca de ICR SA.

Intervención

En modo operativo, escriba el show security ike security-associations comando.

En modo operativo, escriba el show security ike security-associations detail comando.

Verificación de usuarios remotos y sus conexiones IP

Purpose

Mostrar la lista de usuarios activos conectados con detalles sobre las direcciones del mismo nivel y los puertos que están usando.

Intervención

En modo operativo, escriba el show security ike active-peer comando.

En modo operativo, escriba el show security ike active-peer detail comando.

Comprobación de las sesiones de encapsulación TCP

Purpose

Mostrar información acerca de las sesiones de encapsulación TCP.

Intervención

En modo operativo, escriba el show security tcp-encap connections comando.

En modo operativo, escriba el show security tcp-encap statistics comando.