Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN basadas en la ruta y en la Directiva con TDR-T

Traducción de direcciones de red-Traversal (TDR-T) es un método utilizado para administrar problemas relacionados con la traducción de direcciones IP que se encuentran cuando los datos protegidos por IPsec pasan por un dispositivo configurado con TDR para la traducción de direcciones.

Descripción TDR-T

Traducción de direcciones de red-transversal (TDR-T) es un método para evitar problemas de traducción de direcciones IP cuando los datos protegidos por IPsec pasan por un dispositivo de TDR para la traducción de direcciones. Cualquier cambio en el direccionamiento IP, que es la función de TDR, hace que ICR descarte los paquetes. Después de detectar uno o varios dispositivos TDR a lo largo de la ruta de acceso durante las intercambios de la fase 1, TDR-T agrega una capa de encapsulación del Protocolo de datagramas de usuario (UDP) a los paquetes IPsec, de manera que no se descartan después de la traducción de direcciones. TDR-T encapsula el tráfico ICR y ESP dentro de UDP con el puerto 4500 que se utiliza como puerto de origen y destino. Dado que TDR dispositivos caducan las traducciones UDP obsoletas, es necesario disponer de mensajes de KeepAlive entre los interlocutores.

TDR-T está habilitado de forma predeterminada, por lo tanto, debe usar la instrucción en el nivel jerárquico para deshabilitar no-nat-traversal[edit security ike gateway gateway-name el TDR-T.

Existen dos amplias categorías de TDR:

  • TDR estática, donde hay una relación uno a uno entre las direcciones privada y pública. La TDR estática funciona en direcciones tanto entrantes como salientes.

  • TDR dinámico, donde hay una relación de varios a uno o varios a varios entre las direcciones públicas y privadas. La TDR dinámica funciona únicamente en dirección de salida.

La ubicación de un dispositivo TDR puede ser tal que:

  • Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo TDR. Varios iniciadores pueden estar detrás de dispositivos de TDR independientes. Los iniciadores también se pueden conectar al interlocutor que responde a través de varios dispositivos TDR.

  • Solo el contestador de IKEv1 o IKEv2 está detrás de un dispositivo TDR.

  • El iniciador IKEv1 o IKEv2 y el contestador están detrás de un dispositivo TDR.

Vpn de punto de conexión dinámico cubre la situación en la que la dirección ICR externa del iniciador no es fija y, por lo tanto, el respondedor no conoce. Esto puede ocurrir cuando un ISP asigna dinámicamente la dirección del iniciador o cuando la conexión del iniciador cruza un dispositivo de TDR dinámico que asigna direcciones de un grupo de direcciones dinámicas.

Los ejemplos de configuración de TDR-T se proporcionan para la topología en la que solo el contestador se encuentra detrás de un dispositivo TDR y la topología en la que tanto el iniciador como el contestador se encuentran detrás de un dispositivo TDR. La configuración de puerta de enlace ICR de sitio a sitio para TDR-T es compatible tanto con el interlocutor inicial como con el interlocutor que responde. Un ID de ICR remoto se usa para validar el ID de ICR local de un par durante la fase 1 de ICR de túnel. Tanto el iniciador como el respondedor local-identity requieren una remote-identity y una configuración.

En los dispositivos SRX5400, SRX5600 y SRX5800, los problemas de escalado y sostenimiento de túneles IPsec TDR-T son los siguientes:

  • Para una dirección IP privada dada, el dispositivo TDR debe traducir los puertos privados 500 y 4500 a la misma dirección IP pública.

  • El número total de túneles a partir de una dirección IP pública traducida no puede superar los 1000 túneles.

A partir de Junos OS versión 19.2 R1, PowerMode IPSec (PMI) para TDR-T sólo se admite en dispositivos SRX5400, SRX5600 y SRX5800 equipados con SRX5K-SPC3 Services Process Card (SPC) o con vSRX.

Ejemplo Configuración de una VPN basada en ruta solo con el contestador detrás de un dispositivo TDR

En este ejemplo se muestra cómo configurar una VPN basada en rutas con un respondedor detrás de un dispositivo TDR para permitir que los datos se transfieran de manera segura entre una sucursal y la oficina corporativa.

Aplicables

Antes de comenzar, lea Descripción general de IPsec .

Descripción general

En este ejemplo, puede configurar una VPN basada en ruta para una sucursal de Chicago, Illinois, ya que desea conservar los recursos de túnel pero aún así obtener restricciones granulares sobre el tráfico VPN. Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes empresariales en Sunnyvale, California.

Figura 1muestra un ejemplo de una topología para VPN basada en rutas con solo el respondedor detrás de un dispositivo TDR.

Figura 1: Topología VPN basada en rutas con solo el respondedor detrás de un dispositivo TDRTopología VPN basada en rutas con solo el respondedor detrás de un dispositivo TDR

En este ejemplo, puede configurar interfaces, opciones de enrutamiento, zonas de seguridad y políticas de seguridad tanto para un iniciador de Chicago como para un contestador de Sunnyvale. A continuación, configure ICR parámetros Phase 1 e IPsec Phase 2.

Los paquetes enviados desde el iniciador con una dirección de destino/32 se convierten en la dirección de destino 71.1.1.1/32 del dispositivo de TDR.

Consulte Tabla 1 a Tabla 3 través de los parámetros de configuración específicos que se utilizan para el iniciador en los ejemplos.

Tabla 1: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad para el iniciador

Función

Nombre

Parámetros de configuración

Interfaces

ge-0/0/1

1.0.0.1/24

 

ge-0/0/3

33.1.1.1/24

 

St 0.1 (interfaz de túnel)

31.1.1.2/24

Rutas estáticas

32.1.1.0/24

El siguiente salto es St 0.1.

 

1.1.1.1/32

El siguiente salto es 1.0.0.2.

Zonas de seguridad

no fiable

  • Solo se permite ICR servicio del sistema.

  • Las interfaces GE-0/0/1.0 y St 0.1 están enlazadas a esta zona.

 

confia

  • Se permiten todos los servicios del sistema.

  • Todos los protocolos están permitidos.

  • La interfaz GE-0/0/3.0 está enlazada a esta zona.

Políticas de seguridad

to-Sunnyvale

Permita el tráfico desde 33.1.1.1/24 en la zona de confianza a 32.1.1.1/24 en la zona de no confianza.

de-Sunnyvale

Permita el tráfico de 32.1.1.1/24 en la zona de no confianza a 33.1.1.1/24 en la zona de confianza.

Tabla 2: ICR parámetros de configuración de la fase 1 del iniciador

Función

Nombre

Parámetros de configuración

Clasificado

ike_prop

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: 3des-cbc

Políticas

ike_pol

  • Medio principalmente

  • Referencia de la propuesta: ike_prop

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

Gateway

gw1

  • Referencia de políticas ICR: ike_pol

  • Interfaz externa: ge-0/0/1.0

  • Dirección de puerta de enlace: 1.1.1.1

  • Interlocutor local (iniciador): branch_natt1@example.net

  • Interlocutor remoto (contestador): responder_natt1@example.net

Tabla 3: Parámetros de configuración de la fase 2 de IPsec para el iniciador

Función

Nombre

Parámetros de configuración

Clasificado

ipsec_prop

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: 3des-cbc

Políticas

ipsec_pol

  • Referencia de la propuesta: ipsec_prop

  • Claves de confidencialidad directa perfecta (PFS): group2

VIRTUALES

vpn1

  • Referencia de puerta de enlace ICR: gw1

  • Referencia de directiva IPsec: ipsec_pol

  • Enlazar con interfaz: st0.1

  • Establezca los túneles inmediatamente

Consulte Tabla 4 a Tabla 6 través de los parámetros de configuración específicos que se utilizan para el contestador en los ejemplos.

Tabla 4: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad del contestador

Función

Nombre

Parámetros de configuración

Interfaces

ge-0/0/2

71.1.1.1/24

 

ge-0/0/3

32.1.1.1/24

 

St 0.1 (interfaz de túnel)

31.1.1.1/24

Rutas estáticas

0.0.0.0/0 (ruta predeterminada)

El siguiente salto es 71.1.1.2.

 

33.1.1.0/24

El siguiente salto es St 0.1.

Zonas de seguridad

no fiable

  • Solo se permite ICR servicio del sistema.

  • Las interfaces GE-0/0/2.0 y St 0.1 están enlazadas a esta zona.

 

confia

  • Se permiten todos los servicios del sistema.

    Todos los protocolos están permitidos.

  • La interfaz GE-0/0/3.0 está enlazada a esta zona.

Políticas de seguridad

to-Chicago

Permita el tráfico desde 32.1.1.1/24 en la zona de confianza a 33.1.1.1/24 en la zona de no confianza.

desde-Chicago

Permita el tráfico de 33.1.1.1/24 en la zona de no confianza a 32.1.1.1/24 en la zona de confianza.

Tabla 5: ICR parámetros de configuración de la fase 1 del contestador

Función

Nombre

Parámetros de configuración

Clasificado

ike_prop

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: 3des-cbc

Políticas

ike_pol

  • Medio principalmente

  • Referencia de la propuesta: ike_prop

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

Gateway

gw1

  • Referencia de políticas ICR: ike_pol

  • Interfaz externa: ge-0/0/2.0

  • Dirección de puerta de enlace: 1.0.0.1

  • Interlocutor local (respondedor): responder_natt1@example.net

  • Interlocutor remoto (iniciador): branch_natt1@example.net

Tabla 6: Parámetros de configuración de la fase 2 de IPsec para el contestador

Función

Nombre

Parámetros de configuración

Clasificado

ipsec_prop

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: 3des-cbc

Políticas

ipsec_pol

  • Referencia de la propuesta: ipsec_prop

  • Claves PFS: group2

VIRTUALES

vpn1

  • Referencia de puerta de enlace ICR: gw1

  • Referencia de directiva IPsec: ipsec_pol

  • Enlazar con interfaz: st0.1

  • Establezca los túneles inmediatamente

Automática

Configuración de interfaces, opciones de enrutamiento, zonas de seguridad y políticas de seguridad para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar la interfaz, ruta estática, zona de seguridad y información de las políticas de seguridad:

  1. Configurar la información de interfaz Ethernet.

  2. Configurar la información de rutas estáticas.

  3. Configure la zona de seguridad que no es de confianza.

  4. Asigne interfaces a la zona de seguridad que no es de confianza.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad de confianza.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.

  9. Configurar libretas de direcciones.

  10. Crear políticas de seguridad.

Resultados

Desde el modo de configuración show interfaces, especifique los comandos, show routing-options, show security zonesshow security address-book, y show security policiespara confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de ICR para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta ICR fase 1.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Definir el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Crear una directiva ICR la fase 1.

  7. Establecer el modo de directiva ICR fase 1.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de directivas ICR fase 1.

  10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.

  11. Defina la referencia de directiva ICR fase 1.

  12. Defina la dirección de puerta de enlace ICR Phase 1.

  13. Conjunto local-identity del elemento del mismo nivel local.

  14. Conjunto remote-identity del contestador. Este es el identificador de ICR.

  15. Defina la interfaz externa.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta relativa a la fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Crear la Directiva de fase 2 de IPsec.

  6. Especifique la fase 2 de IPsec para utilizar la confidencialidad directa perfecta (PFS).

  7. Especifique la referencia a la propuesta de la fase 2 de IPsec.

  8. Especifique el ICR puerta de enlace.

  9. Especifique la directiva IPsec de fase 2.

  10. Especifique la interfaz que se va a enlazar.

  11. Especifica que el túnel debe mostrarse inmediatamente sin esperar a que se envíe un paquete de comprobación.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de interfaces, opciones de enrutamiento, zonas de seguridad y políticas de seguridad para el contestador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar la interfaz, la ruta estática, las zonas de seguridad, las directivas y las puertas de enlace:

  1. Configurar la información de interfaz Ethernet.

  2. Configurar la información de rutas estáticas.

  3. Configure la zona de seguridad que no es de confianza.

  4. Asigne interfaces a la zona de seguridad que no es de confianza.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad de confianza.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.

  9. Configurar libretas de direcciones.

  10. Crear políticas de seguridad.

Resultados

Desde el modo de configuración show interfaces, especifique los comandos, show routing-options, show security zonesshow security address-book, y show security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de ICR para el contestador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta ICR fase 1.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Definir el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Crear una directiva ICR la fase 1.

  7. Establecer el modo de directiva ICR fase 1.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de directivas ICR fase 1.

  10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.

  11. Defina la referencia de directiva ICR fase 1.

  12. Defina la dirección de puerta de enlace ICR Phase 1.

  13. Conjunto local-identity del contestador.

  14. Conjunto remote-identity del contestador. Este es el identificador de ICR.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec para el contestador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta relativa a la fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Crear la Directiva de fase 2 de IPsec.

  6. Especifique la fase 2 de IPsec para utilizar la confidencialidad directa perfecta (PFS).

  7. Especifique la referencia a la propuesta de la fase 2 de IPsec.

  8. Especifique el ICR puerta de enlace.

  9. Especifique la directiva IPsec de fase 2.

  10. Especifique la interfaz que se va a enlazar.

  11. Especifica que el túnel debe mostrarse inmediatamente sin esperar a que se envíe un paquete de comprobación.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación del estado de la fase 1 de ICR del iniciador

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host de la red 33.1.1.0 a un host de la red 32.1.1.0. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado por el dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie una operación ping de 33.1.1.2 a 32.1.1.2.

En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show security ike security-associations index detail más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 500 se está utilizando para la comunicación par a par.

  • Estado del iniciador de rol

    • Up: se estableció la SA de fase 1.

    • Abajo: se hubo un problema al establecer la SA de fase 1.

    • Ambos interlocutores del par IPsec SA utilizan el puerto 500.

    • ID de ICR par: compruebe que la dirección remota es correcta.

    • Identidad local e identidad remota: compruebe que son correctas.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • ICR parámetros de políticas

  • Información de claves previamente compartidas

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)

El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobando las asociaciones de seguridad IPsec para el iniciador

Purpose

Compruebe el estado de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.

Efectos

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • La puerta de enlace remota tiene una dirección TDR de pág.

  • Ambos interlocutores del par IPsec SA utilizan el puerto 500.

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 2532/unlim indica que la duración de la fase 2 caduca en 2532 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica que la supervisión no está activa.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

Verificación del estado de la fase 1 ICR del contestador

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show security ike security-associations index detail más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 500 se está utilizando para la comunicación par a par.

  • Estado del contestador de roles

    • Up: se estableció la SA de fase 1.

    • Abajo: se hubo un problema al establecer la SA de fase 1.

    • ID ICR par: compruebe que la dirección es correcta.

    • Identidad local e identidad remota: compruebe que estas direcciones son correctas.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • ICR parámetros de políticas

  • Información de claves previamente compartidas

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)

El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobación de las asociaciones de seguridad IPsec para el contestador

Purpose

Compruebe el estado de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.

Efectos

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • La puerta de enlace remota tiene la dirección IP 1.0.0.1.

  • Ambos interlocutores del par IPsec SA utilizan el puerto 500.

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 3571/unlim indica que la duración de la fase 2 caduca en 3571 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica que la supervisión no está activa.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

La salida del show security ipsec security-associations index index_iddetail comando muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID. de proxy de la SA.

    Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta, el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.

  • Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.

Ejemplo Configuración de una VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo TDR

Este ejemplo muestra cómo configurar una VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo TDR para permitir que los datos se transfieran de manera segura entre una sucursal y la oficina corporativa.

Aplicables

Antes de comenzar, lea Descripción general de IPsec .

Descripción general

En este ejemplo, puede configurar una VPN basada en políticas para una sucursal de Chicago, Illinois, ya que desea conservar los recursos de túnel, pero aún así obtener restricciones granulares sobre el tráfico VPN. Los usuarios de la sucursal utilizarán la red VPN para conectarse a sus sedes corporativas en Sunnyvale, California.

En este ejemplo, se configuran interfaces, opciones de enrutamiento, zonas de seguridad, políticas de seguridad tanto para el iniciador como para el contestador.

Figura 2 muestra un ejemplo de una topología para una VPN con un iniciador y un respondedor detrás de un dispositivo TDR estático.

Figura 2: Topología VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo TDRTopología VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo TDR

En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A continuación, puede configurar ICR fase 1, incluidos los interlocutores locales y remotos, la fase 2 de IPsec y la Directiva de seguridad. Nota: en el ejemplo anterior, la dirección IP privada del respondedor 13.168.11.1 está oculta por el dispositivo de TDR estático y está asignada a la dirección IP pública 1.1.100.1.

Consulte Tabla 7 a Tabla 10 través de los parámetros de configuración específicos que se utilizan para el iniciador en los ejemplos.

Tabla 7: Interfaz, opciones de enrutamiento y zonas de seguridad para el iniciador

Función

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0

12.168.99.100/24

 

ge-0/0/1

10.1.99.1/24

Rutas estáticas

10.2.99.0/24 (ruta predeterminada)

El siguiente salto es 12.168.99.100.

 

1.1.100.0/24

12.168.99.100

Zonas de seguridad

confia

  • Se permiten todos los servicios del sistema.

  • Todos los protocolos están permitidos.

  • La interfaz GE-0/0/1,0 está enlazada a esta zona.

 

no fiable

  • La interfaz GE-0/0/0.0 está enlazada a esta zona.

Tabla 8: ICR parámetros de configuración de la fase 1 del iniciador

Función

Nombre

Parámetros de configuración

Clasificado

ike_prop

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: md5

  • Algoritmo de cifrado: 3des-cbc

Políticas

ike_pol

  • Medio principalmente

  • Referencia de la propuesta: ike_prop

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

Gateway

esclusa

  • Referencia de políticas ICR: ike_pol

  • Interfaz externa: ge-0/0/1.0

  • Dirección de puerta de enlace: 1.1.100.23

  • Local de mismo nivel es nombre de host Chicago

  • El interlocutor remoto es hostname Sunnyvale

Tabla 9: Parámetros de configuración de la fase 2 de IPsec para el iniciador

Función

Nombre

Parámetros de configuración

Clasificado

ipsec_prop

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-md5-96

  • Algoritmo de cifrado: 3des-cbc

Políticas

ipsec_pol

  • Referencia de la propuesta: ipsec_prop

  • Confidencialidad directa perfecta (PFS): group1

VIRTUALES

first_vpn

  • Referencia de puerta de enlace ICR: esclusa

  • Referencia de directiva IPsec: ipsec_pol

Tabla 10: Parámetros de configuración de la Directiva de seguridad para el iniciador

Purpose

Nombre

Parámetros de configuración

La Directiva de seguridad permite el tráfico de túnel desde la zona de confianza a la zona de no confianza.

pol1

  • Criterios de coincidencia:

    • Source-Address any

    • destino cualquiera

    • aplicación cualquier

  • Intervención permitir túnel IPSec-VPN first_vpn

La Directiva de seguridad permite el tráfico de túnel desde la zona de no confianza hasta la zona de confianza.

pol1

  • Criterios de coincidencia:

    • aplicación cualquier

  • Intervención permitir túnel IPSec-VPN first_vpn

Consulte Tabla 11 a Tabla 14 través de los parámetros de configuración específicos que se utilizan para el contestador en los ejemplos.

Tabla 11: Interfaz, opciones de enrutamiento y zonas de seguridad para el contestador

Función

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0

13.168.11.100/24

 

ge-0/0/1

10.2.99.1/24

Rutas estáticas

10.1.99.0/24 (ruta predeterminada)

El siguiente salto es 13.168.11.100

 

1.1.100.0/24

13.168.11.100

Zonas de seguridad

confia

  • Se permiten todos los servicios del sistema.

  • Todos los protocolos están permitidos.

  • La interfaz GE-0/0/1,0 está enlazada a esta zona.

 

no fiable

  • La interfaz GE-0/0/0.0 está enlazada a esta zona.

Tabla 12: ICR parámetros de configuración de la fase 1 del contestador

Función

Nombre

Parámetros de configuración

Clasificado

ike_prop

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: md5

  • Algoritmo de cifrado: 3des-cbc

Políticas

ike_pol

  • Medio principalmente

  • Referencia de la propuesta: ike_prop

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

Gateway

esclusa

  • Referencia de políticas ICR: ike_pol

  • Interfaz externa: ge-0/0/1.0

  • Dirección de puerta de enlace: 1.1.100.22

  • Enviar siempre detección de elementos de mismo nivel

  • El elemento de configuración local es hostname Sunnyvale

  • Interlocutor remoto es nombre de host Chicago

Tabla 13: Parámetros de configuración de la fase 2 de IPsec para el contestador

Función

Nombre

Parámetros de configuración

Clasificado

ipsec_prop

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-md5-96

  • Algoritmo de cifrado: 3des-cbc

Políticas

ipsec_pol

  • Referencia de la propuesta: ipsec_prop

  • Confidencialidad directa perfecta (PFS): group1

VIRTUALES

first_vpn

  • Referencia de puerta de enlace ICR: esclusa

  • Referencia de directiva IPsec: ipsec_pol

Tabla 14: Parámetros de configuración de la Directiva de seguridad para el contestador

Purpose

Nombre

Parámetros de configuración

La Directiva de seguridad permite el tráfico de túnel desde la zona de confianza a la zona de no confianza.

pol1

  • Criterios de coincidencia:

    • Source-Address any

    • destino cualquiera

    • aplicación cualquier

  • Intervención permitir túnel IPSec-VPN first_vpn

La Directiva de seguridad permite el tráfico de túnel desde la zona de no confianza hasta la zona de confianza.

pol1

  • Criterios de coincidencia:

    • aplicación cualquier

  • Intervención permitir túnel IPSec-VPN first_vpn

Automática

Configuración de interfaces, opciones de enrutamiento y zonas de seguridad para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar interfaces, rutas estáticas y zonas de seguridad:

  1. Configurar la información de interfaz Ethernet.

  2. Configurar la información de rutas estáticas.

  3. Configure la zona de seguridad de confianza.

  4. Asigne una interfaz a la zona de seguridad de confianza.

  5. Especifique servicios del sistema para la zona de seguridad de confianza.

  6. Asigne una interfaz a la zona de seguridad de no confianza.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-optionsescriba los show security zones comandos, y, si la salida no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de ICR para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta ICR fase 1.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Definir el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Crear una directiva ICR la fase 1.

  7. Establecer el modo de directiva ICR fase 1.

  8. Especifique una referencia a la propuesta de ICR.

  9. Defina el método de autenticación de directivas ICR fase 1.

  10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.

  11. Cree una dirección de puerta de enlace ICR Phase 1.

  12. Defina la referencia de directiva ICR fase 1.

  13. Establecido local-identity para el elemento local homólogo.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta relativa a la fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Especifique la referencia a la propuesta de la fase 2 de IPsec.

  6. Especifique IPsec fase 2 para utilizar Grupo1 (confidencialidad directa perfecta).

  7. Especifique el ICR puerta de enlace.

  8. Especifique la directiva IPsec de fase 2.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de políticas de seguridad para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar las políticas de seguridad:

  1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

  2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de confianza.

Resultados

Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de TDR para el iniciador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el iniciador que proporciona TDR:

  1. Configurar interfaces.

  2. Configurar zonas.

  3. Configure TDR.

  4. Configure la Directiva de seguridad predeterminada.

  5. Configure la opción de enrutamiento.

Resultados

Desde el modo de configuración, escriba el show security nat comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de interfaces, opciones de enrutamiento y zonas de seguridad para el contestador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar interfaces, rutas estáticas, zonas de seguridad y políticas de seguridad:

  1. Configurar la información de interfaz Ethernet.

  2. Configurar la información de rutas estáticas.

  3. Asigne una interfaz a la zona de seguridad de no confianza.

  4. Configure la zona de seguridad de confianza.

  5. Asigne una interfaz a la zona de seguridad de confianza.

  6. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show security zones para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de ICR para el contestador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar ICR:

  1. Defina el método de autenticación de propuesta de ICR.

  2. Definir el grupo Diffie-Hellman de la propuesta de ICR.

  3. Defina el algoritmo de autenticación de propuesta de ICR.

  4. Defina el algoritmo de cifrado de la propuesta de ICR.

  5. Crear una directiva ICR la fase 1.

  6. Establecer el modo de directiva ICR fase 1.

  7. Especifique una referencia a la propuesta de ICR.

  8. Defina el método de autenticación de directivas ICR fase 1.

  9. Cree una puerta ICR de enlace de fase 1 y defina su nombre de host dinámico.

  10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.

  11. Defina la referencia de directiva ICR fase 1.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec para el contestador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta relativa a la fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Crear la Directiva de fase 2 de IPsec.

  6. Establezca IPsec fase 2 para que utilice Grupo1 (confidencialidad directa perfecta).

  7. Especifique la referencia a la propuesta de la fase 2 de IPsec.

  8. Especifique el ICR puerta de enlace.

  9. Especifique la directiva IPsec de fase 2.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de políticas de seguridad para el contestador

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar las políticas de seguridad:

  1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza.

  2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de confianza.

Resultados

Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de TDR para el respondedor

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el respondedor que proporciona TDR:

  1. Configurar interfaces.

  2. Configurar zonas.

  3. Configure TDR.

  4. Configure la Directiva de seguridad predeterminada.

  5. Configure la opción de enrutamiento.

Resultados

Desde el modo de configuración, escriba el show security nat comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Verificación del estado de la fase 1 de ICR del iniciador

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host de la red 10.1.99.0 a un host de la red 10.2.99.0. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado por el dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie una operación ping de 10.1.99.2 a 10.2.99.2.

En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show security ike security-associations index detail más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 4500 se está utilizando para la comunicación par a par.

  • Estado del iniciador de rol

    • Up: se estableció la SA de fase 1.

    • Abajo: se hubo un problema al establecer la SA de fase 1.

    • Ambos interlocutores del par IPsec SA utilizan el puerto 4500, que indica que se ha implementado TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.)

    • ID de ICR par: compruebe que el ID remoto (respondedor) es correcto. En este ejemplo, el nombre de host es Sunnyvale.

    • Identidad local e identidad remota: compruebe que son correctas.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • ICR parámetros de políticas

  • Información de claves previamente compartidas

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)

El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobando las asociaciones de seguridad IPsec para el iniciador

Purpose

Compruebe el estado de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.

Efectos

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • La puerta de enlace remota tiene TDR dirección 13.168.11.100.

  • Ambos interlocutores del par IPsec SA utilizan el puerto 4500, que indica que se ha implementado TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.).

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 3390/Unlimited indica que la duración de la fase 2 caduca en 3390 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica que la supervisión no está activa.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

Verificación del estado de la fase 1 ICR del contestador

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show security ike security-associations index detail más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 4500 se está utilizando para la comunicación par a par.

  • Estado del contestador de roles

    • Up: se estableció la SA de fase 1.

    • Abajo: se hubo un problema al establecer la SA de fase 1.

    • ID ICR par: compruebe que el ID local para el par es correcto. En este ejemplo, el nombre de host es Chicago.

    • Identidad local e identidad remota: compruebe que son correctas.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)

  • ICR parámetros de políticas

  • Información de claves previamente compartidas

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)

El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobación de las asociaciones de seguridad IPsec para el contestador

Purpose

Compruebe el estado de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.

Efectos

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • La puerta de enlace remota tiene una dirección TDR de 1.1.100.23.

  • Ambos interlocutores del par IPsec SA utilizan el puerto 4500, que indica que se ha implementado TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.)

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 3571/unlim indica que la duración de la fase 2 caduca en 3571 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica que la supervisión no está activa.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

Ejemplo Configurando TDR-T con VPN de extremo dinámico

En este ejemplo se muestra cómo configurar una VPN basada en ruta donde el iniciador IKEv2 es un extremo dinámico detrás de un dispositivo TDR.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos serie SRX configurados en un clúster del chasis

  • Un dispositivo serie SRX proporcionando TDR

  • Un serie SRX dispositivo que ofrece acceso a redes de sucursales

  • Junos OS de la versión 12.1 X46-D10 o posterior para ofrecer compatibilidad con TDR de IKEv2 en T

Descripción general

En este ejemplo, se configura una VPN de IPsec entre la sucursal (iniciador IKEv2) y la sede central (el respondedor IKEv2) para proteger el tráfico de red entre las dos ubicaciones. La sucursal se encuentra detrás del dispositivo TDR. La dirección de la sucursal se asigna dinámicamente y es desconocida para el contestador. El iniciador está configurado con la identidad remota del respondedor para la negociación del túnel. Esta configuración establece una VPN de extremo dinámico entre los interlocutores de la TDR dispositivo.

Figura 3muestra un ejemplo de una topología con TDR-Traversal (TDR-T) y VPN de extremo dinámico.

Figura 3: TDR-T con punto de conexión dinámico VPNTDR-T con punto de conexión dinámico VPN

En este ejemplo, la dirección IP del iniciador, 192.179.100.50, que se asignó dinámicamente al dispositivo, se oculta en el dispositivo de TDR y se traduce a 100.10.1.253.

En este ejemplo se aplican las siguientes opciones de configuración:

  • La identidad local configurada en el iniciador debe coincidir con la identidad de puerta de enlace remota configurada en el contestador.

  • Las opciones de las fases 1 y 2 deben coincidir entre el interlocutor inicial y el interlocutor que responde.

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, el valor predeterminado de nat-keepalive la opción configurada en el nivel de la [edit security ike gateway gateway-name] jerarquía se ha cambiado de 5 a 20 segundos.

En los dispositivos SRX1400, SRX3400, SRX3600, SRX5600 y SRX5800, ICR las negociaciones que impliquen TDR exploración transversal no funcionarán si el ICR del mismo nivel se encuentra detrás de un TDR dispositivo que cambiará la dirección IP de origen de los paquetes de ICR durante la negociación. Por ejemplo, si el dispositivo de TDR se configura con DIP, cambiará la dirección IP de origen porque el protocolo ICR cambia el puerto UDP de 500 a 4500. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación).

Automática

Configurando el dispositivo de sucursal (iniciador IKEv2)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el dispositivo de la sucursal:

  1. Configurar interfaces.

  2. Configure las opciones de enrutamiento.

  3. Configurar zonas.

  4. Configure las opciones de fase 1.

  5. Configure las opciones de fase 2.

  6. Configure la Directiva de seguridad.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-optionsescriba show security zoneslos show security ikecomandos show security ipsec,, show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del dispositivo de TDR

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar el enrutador intermedio que proporciona TDR:

  1. Configurar interfaces.

  2. Configurar zonas.

  3. Configure TDR.

  4. Configure la Directiva de seguridad predeterminada.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security zonesescriba show security nat sourcelos comandos show security policies ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del dispositivo de la sede (respondedor de IKEv2)

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

  1. Configure dos nodos como el clúster del chasis.

  2. Configurar interfaces.

  3. Configure las opciones de enrutamiento.

  4. Configurar zonas.

  5. Configure las opciones de fase 1.

  6. Configure las opciones de fase 2.

  7. Configure la Directiva de seguridad predeterminada.

Resultados

Desde el modo show chassis clusterde configuración, especifique los comandos, show interfaces, show routing-optionsshow security zonesshow security ikeshow security ipsec,, y y show security policies , para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Comproba

Confirme que la configuración funciona correctamente.

Verificación del estado de la fase 1 ICR del contestador

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

Desde el modo operativo en el nodo 0, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations detail el comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show security ike security-associations index index_id detail más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP local es correcta y que el puerto 4500 se está utilizando para la comunicación par a par.

  • Estado del contestador de roles

    • Up: se estableció la SA de fase 1.

    • Abajo: se hubo un problema al establecer la SA de fase 1.

    • ID ICR par: compruebe que la dirección es correcta.

    • Identidad local e identidad remota: compruebe que estas direcciones son correctas.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que envía los paquetes de ICR)

  • ICR parámetros de políticas

  • Información de claves previamente compartidas

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores)

El show security ike security-associations comando enumera información adicional acerca de las asociaciones de seguridad:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobación de las asociaciones de seguridad IPsec para el contestador

Purpose

Compruebe el estado de IPsec.

Intervención

Desde el modo operativo en el nodo 0, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations detail el comando.

Efectos

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • La puerta de enlace remota tiene una dirección IP de 100.10.1.253.

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor de duración indica que la duración de la fase 2 caduca en 7186 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

La salida del show security ipsec security-associations index index_id detail comando muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID. de proxy de la SA.

    Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si no se muestra ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la configuración del ID de proxy, coinciden para ambos interlocutores. Para VPN basadas en la ruta, el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.

  • Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.

Tabla de historial de versiones
Liberación
Descripción
12.1X46-D10
A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, el valor predeterminado de nat-keepalive la opción configurada en el nivel de la [edit security ike gateway gateway-name] jerarquía se ha cambiado de 5 a 20 segundos.