VPN basadas en rutas y políticas con TDR-T
El recorrido de traducción de direcciones de red (TDR-T) es un método utilizado para administrar los problemas relacionados con la traducción de direcciones IP que se encuentran cuando los datos protegidos por IPsec pasan a través de un dispositivo configurado con TDR para la traducción de direcciones.
Descripción de TDR-T
El recorrido de traducción de direcciones de red (TDR-T) es un método para evitar los problemas de traducción de direcciones IP que se encuentran cuando los datos protegidos por IPsec pasan a través de un dispositivo TDR para la traducción de direcciones. Cualquier cambio en el direccionamiento IP, que es la función de TDR, hace que IKE descarte paquetes. Después de detectar uno o más dispositivos TDR a lo largo de la ruta de datos durante intercambios de fase 1, NAT-T agrega una capa de encapsulación del Protocolo de datagramas de usuario (UDP) a los paquetes IPsec para que no se descarten después de la traducción de direcciones. NAT-T encapsula el tráfico de IKE y ESP dentro de UDP con el puerto 4500 utilizado como puerto de origen y destino. Debido a que los dispositivos TDR envejecen las traducciones UDP rancios, se requieren mensajes de mantención entre los pares.
NAT-T está habilitado de forma predeterminada, por lo tanto, debe usar la no-nat-traversal instrucción en el [edit security ike gateway gateway-name nivel de jerarquía para deshabilitar el TDR-T.
Hay dos categorías amplias de TDR:
TDR estático, en el que hay una relación uno a uno entre las direcciones privadas y públicas. TDR estático funciona tanto en direcciones entrantes como salientes.
TDR dinámico, en el que hay una relación varios a uno o varios a muchos entre las direcciones privadas y públicas. TDR dinámico solo funciona en la dirección de salida.
La ubicación de un dispositivo TDR puede ser tal que:
Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo TDR. Varios iniciadores pueden estar detrás de dispositivos TDR separados. Los iniciadores también pueden conectarse al responder a través de varios dispositivos TDR.
Solo el respondedor IKEv1 o IKEv2 está detrás de un dispositivo TDR.
Tanto el iniciador IKEv1 o IKEv2 como el respondedor están detrás de un dispositivo TDR.
La VPN de punto de conexión dinámico cubre la situación en la que la dirección externa IKE del iniciador no es fija y, por lo tanto, el respondedor no la conoce. Esto puede ocurrir cuando un ISP asigna dinámicamente la dirección del iniciador o cuando la conexión del iniciador cruza un dispositivo TDR dinámico que asigna direcciones de un conjunto de direcciones dinámicas.
Se proporcionan ejemplos de configuración para TDR-T para la topología en la que solo el respondedor está detrás de un dispositivo TDR y la topología en la que tanto el iniciador como el respondedor están detrás de un dispositivo TDR. La configuración de puerta de enlace de IKE de sitio a sitio para TDR-T se admite tanto en el iniciador como en el respondedor. Se utiliza un ID de IKE remoto para validar el ID de IKE local de un par durante la fase 1 de la negociación de túnel de IKE. Tanto el iniciador como el respondedor requieren una local-identity y una remote-identity configuración.
En los dispositivos SRX5400, SRX5600 y SRX5800, los problemas de escalabilidad y mantenimiento del túnel T-T IPsec son los siguientes:
Para una dirección IP privada determinada, el dispositivo TDR debe traducir los puertos privados 500 y 4500 a la misma dirección IP pública.
El número total de túneles de una IP pública determinada no puede superar los 1000 túneles.
A partir de Junos OS versión 19.2R1, PowerMode IPSec (PMI) para NAT-T solo se admite en dispositivos SRX5400, SRX5600 y SRX5800 equipados con tarjeta de procesamiento de servicios SRX5K-SPC3 o con vSRX.
Consulte también
Ejemplo: Configurar una VPN basada en rutas con el respondedor behind un dispositivo TDR
En este ejemplo, se muestra cómo configurar una VPN basada en rutas con un respondedor detrás de un dispositivo TDR entre una sucursal y la oficina corporativa.
Requisitos
Antes de empezar, lea Descripción general de IPsec.
Descripción general
En este ejemplo, configure una VPN basada en rutas. Host1 utilizará la VPN para conectarse a su sede corporativa en SRX2.
Figura 1 muestra un ejemplo de una topología para VPN basada en rutas con solo el respondedor detrás de un dispositivo TDR.
En este ejemplo, se configuran las interfaces, IPsec y las políticas de seguridad tanto para un iniciador en SRX1 como para un respondedor en SRX2. A continuación, configure los parámetros de fase 1 e IPsec fase 2 de ICR.
SRX1 envía paquetes con la dirección de destino de 172.1 6. 21.1 para establecer la VPN. El dispositivo TDR traducela dirección de destino a 10.1.31.1.
Consulte Tabla 1 a través Tabla 3 para ver los parámetros de configuración específicos utilizados para el iniciador en los ejemplos.
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Interfaces |
ge-0/0/1 |
172.16.11.1/24 |
|
ge-0/0/0 |
10.1.11.1/24 |
|
|
st0. 0 (interfaz de túnel) |
10.1.100.1/24 |
|
|
Rutas estáticas |
10.1. 21.0/24 |
El siguiente salto es st0. 0. |
|
172.16.21.1/32 |
El siguiente salto es 172. 16. 11.2. |
|
|
Zonas de seguridad |
Untrust |
|
|
confianza |
|
|
|
Políticas de seguridad |
to-SRX2 |
Permitir tráfico desde 10.1.1 1. 0/24 en la zona de confianza a 10.1. 21. 24/0 en la zona de no confianza. |
|
from-SRX2 |
Permitir tráfico a partir de la 10.1. 21. 0/24 en la zona de no confianza a 10.1.1 1. 0/24 en la zona de confianza. |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
ike_prop |
|
|
Política |
ike_pol |
|
|
Gateway |
gw1 |
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
ipsec_prop |
|
|
Política |
ipsec_pol |
|
|
VPN |
vpn1 |
|
Consulte Tabla 4 a través Tabla 6 para ver los parámetros de configuración específicos que se utilizan para el responder en los ejemplos.
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Interfaces |
ge-0/0/1 |
10.1.31.1/24 |
|
ge-0/0/0 |
10.1.21.1/24 |
|
|
st0. 0 (interfaz de túnel) |
10.1.100.2/24 |
|
|
Rutas estáticas |
172.16.11.1/32 |
El siguiente salto es 10.1. 31.2. |
|
10.1.11.0/24 |
El siguiente salto es st0. 0. |
|
|
Zonas de seguridad |
Untrust |
|
|
confianza |
|
|
|
Políticas de seguridad |
to-SRX1 |
Permitir tráfico a partir de la 10.1. 21. 0/24 en la zona de confianza a 10.1. 11. 24/0 en la zona de no confianza. |
|
from-SRX1 |
Permitir tráfico a partir de la 10.1. 11. 0/24 en la zona de no confianza a 10.1. 21. 0/24 en la zona de confianza. |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
ike_prop |
|
|
Política |
ike_pol |
|
|
Gateway |
gw1 |
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
ipsec_prop |
|
|
Política |
ipsec_pol |
|
|
VPN |
vpn1 |
|
Configuración
- Configuración de interfaz, opciones de enrutamiento y parámetros de seguridad para SRX1
- Configuración de ICR para SRX1
- Configuración de IPsec para SRX1
- Configuración de interfaces, opciones de enrutamiento y arametros Pde seguridad para SRX2
- Configuración de ICR para SRX2
- Configuración de IPsec para SRX2
- Configuración para el dispositivo TDR
Configuración de interfaz, opciones de enrutamiento y parámetros de seguridad para SRX1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security address-book book1 address Host1 10.1.11.0/24 set security address-book book1 attach zone trust set security address-book book2 address Host2 10.1.21.0/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-SRX2 match source-address Host1 set security policies from-zone trust to-zone untrust policy to-SRX2 match destination-address Host2 set security policies from-zone trust to-zone untrust policy to-SRX2 match application any set security policies from-zone trust to-zone untrust policy to-SRX2 then permit set security policies from-zone untrust to-zone trust policy from-SRX2 match source-address Host2 set security policies from-zone untrust to-zone trust policy from-SRX2 match destination-address Host1 set security policies from-zone untrust to-zone trust policy from-SRX2 match application any set security policies from-zone untrust to-zone trust policy from-SRX2 then permit set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.1.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.11.1/24 set interfaces st0 unit 0 family inet address 10.1.100.1/24 set routing-options static route 10.1.21.0/24 next-hop st0.0 set routing-options static route 172.16.21.1/32 next-hop 172.16.11.2
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar las interfacess, las rutasestáticas y los parámetros de seguridad:
-
Configure las interfacesconectadas a Internet, host1 y la interfaz usada para la VPN.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.1.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.11.1/24 user@SRX1# set interfaces st0 unit 0 family inet address 10.1.100.1/24
-
Configure rutas estáticas para el tráfico que utilizará la VPN y para SRX1 para llegar al dispositivo TDR.
[edit] user@SRX1# set routing-options static route 10.1.21.0/24 next-hop st0.0 user@SRX1# set routing-options static route 172.16.21.1/32 next-hop 172.16.11.2
-
Configure la zona de seguridad de no confianza.
[edit] user@SRX1# set security zones security-zone untrust host-inbound-traffic system-services ike user@SRX1# set security zones security-zone untrust host-inbound-traffic system-services ping user@SRX1# set security zones security-zone untrust interfaces st0.0 user@SRX1# set security zones security-zone untrust interfaces ge-0/0/1.0
-
Configure la zona de seguridad de confianza.
[edit] user@SRX1# set security zones security-zone trust host-inbound-traffic system-services all user@SRX1# set security zones security-zone trust host-inbound-traffic protocols all user@SRX1# set security zones security-zone trust interfaces ge-0/0/0.0
-
Configure las libretas de direcciones para las redes utilizadas en las políticas de seguridad.
[edit] user@SRX1# set security address-book book1 address Host1 10.1.11.0/24 user@SRX1# set security address-book book1 attach zone trust user@SRX1# set security address-book book2 address Host2 10.1.21.0/24 user@SRX1# set security address-book book2 attach zone untrust
-
Cree políticas de seguridad para permitir el tráfico entre los hosts.
[edit] user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match source-address Host1 user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match destination-address Host2 user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 match application any user@SRX1# set security policies from-zone trust to-zone untrust policy to-SRX2 then permit user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match source-address Host2 user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match destination-address Host1 user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 match application any user@SRX1# set security policies from-zone untrust to-zone trust policy from-SRX2 then permit
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-optionsy show security para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.11.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.1.100.1/24;
}
}
}[edit]
user@SRX1# show routing-options
static {
route 10.1.21.0/24 next-hop st0.0;
route 172.16.21.1/32 next-hop 172.16.11.2;
}[edit]
user@SRX1# show security
address-book {
book1 {
address Host1 10.1.11.0/24;
attach {
zone trust;
}
}
book2 {
address Host2 10.1.21.0/24;
attach {
zone untrust;
}
}
}
policies {
from-zone trust to-zone untrust {
policy to-SRX2 {
match {
source-address Host1;
destination-address Host2;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy from-SRX2 {
match {
source-address Host2;
destination-address Host1;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
}Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de ICR para SRX1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 172.16.21.1 set security ike gateway gw1 local-identity user-at-hostname "srx1@example.com" set security ike gateway gw1 remote-identity user-at-hostname "srx2@example.com" set security ike gateway gw1 external-interface ge-0/0/1.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar ICR:
-
Cree una propuesta de fase 1 de ICR.
[edit] user@SRX1# set security ike proposal ike_prop authentication-method pre-shared-keys user@SRX1# set security ike proposal ike_prop dh-group group2 user@SRX1# set security ike proposal ike_prop authentication-algorithm sha1 user@SRX1# set security ike proposal ike_prop encryption-algorithm 3des-cbc
-
Cree una política de fase 1 de ICR.
[edit] user@SRX1# set security ike policy ike_pol mode main user@SRX1# set security ike policy ike_pol proposals ike_prop user@SRX1# set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
-
Configure los parámetros de puerta de enlace de fase IKE 1. La dirección de puerta de enlace debe ser la IP del dispositivo TDR.
[edit security ike gateway gw1] user@SRX1# set security ike gateway gw1 ike-policy ike_pol user@SRX1# set security ike gateway gw1 address 172.16.21.1 user@SRX1# set security ike gateway gw1 local-identity user-at-hostname "srx1@example.com" user@SRX1# set security ike gateway gw1 remote-identity user-at-hostname "srx2@example.com" user@SRX1# set security ike gateway gw1 external-interface ge-0/0/1.0
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX1# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text “$9$xPn7-VwsgaJUHqp01IcSs2g”; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike_pol;
address 172.16.21.1;
local-identity user-at-hostname "srx1@example.com";
remote-identity user-at-hostname "srx2@example.com";
external-interface ge-0/0/1.0;
}Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IPsec para SRX1
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar IPsec:
-
Cree una propuesta de fase 2 de IPsec.
[edit] user@SRX1# set security ipsec proposal ipsec_prop protocol esp user@SRX1# set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 user@SRX1# set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
-
Cree la política de fase 2 de IPsec.
[edit] user@SRX1# set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 user@SRX1# set security ipsec policy ipsec_pol proposals ipsec_prop
-
Configure los parámetros VPN IPsec.
[edit] user@SRX1# set security ipsec vpn vpn1 bind-interface st0.0 user@SRX1# set security ipsec vpn vpn1 ike gateway gw1 user@SRX1# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol user@SRX1# set security ipsec vpn vpn1 establish-tunnels immediately
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX1# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de interfaces, opciones de enrutamiento y arametros Pde seguridad para SRX2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security address-book book1 address Host2 10.1.21.0/24 set security address-book book1 attach zone trust set security address-book book2 address Host1 10.1.11.0/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-SRX1 match source-address Host2 set security policies from-zone trust to-zone untrust policy to-SRX1 match destination-address Host1 set security policies from-zone trust to-zone untrust policy to-SRX1 match application any set security policies from-zone trust to-zone untrust policy to-SRX1 then permit set security policies from-zone untrust to-zone trust policy from-SRX1 match source-address Host1 set security policies from-zone untrust to-zone trust policy from-SRX1 match destination-address Host2 set security policies from-zone untrust to-zone trust policy from-SRX1 match application any set security policies from-zone untrust to-zone trust policy from-SRX1 then permit set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.1.21.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.1/24 set interfaces st0 unit 0 family inet address 10.1.100.2/24 set routing-options static route 172.16.11.1/32 next-hop 10.1.31.2 set routing-options static route 10.1.11.0/24 next-hop st0.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar las interfacess, las rutasestáticas y los parámetros de seguridad:
-
Configure las interfaces conectadas a Internet, Host2 y la interfaz usada para la VPN.
[edit] user@SRX2# set interfaces ge-0/0/0 unit 0 family inet address 10.1.21.1/24 user@SRX2# set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.1/24 user@SRX2# set interfaces st0 unit 0 family inet address 10.1.100.2/24
-
Configure rutas estáticas para el tráfico que utilizará la VPN y para SRX2 para llegar a SRX1.
[edit] user@SRX2# set routing-options static route 172.16.11.1/32 next-hop 10.1.31.2 user@SRX2# set routing-options static route 10.1.11.0/24 next-hop st0.0
-
Configure la zona de seguridad de no confianza.
[edit] user@SRX2# set security zones security-zone untrust host-inbound-traffic system-services ike user@SRX2# set security zones security-zone untrust host-inbound-traffic system-services ping user@SRX2# set security zones security-zone untrust interfaces ge-0/0/1.0 user@SRX2# set security zones security-zone untrust interfaces st0.0
-
Configure la zona de seguridad de confianza.
[edit] user@SRX2# set security zones security-zone trust host-inbound-traffic system-services all user@SRX2# set security zones security-zone trust host-inbound-traffic protocols all user@SRX2# set security zones security-zone trust interfaces ge-0/0/0.0
-
Configure las libretas de direcciones para las redes utilizadas en las políticas de seguridad.
[edit] user@SRX2# set security address-book book1 address Host2 10.1.21.0/24 user@SRX2# set security address-book book1 attach zone trust user@SRX2# set security address-book book2 address Host1 10.1.11.0/24 user@SRX2# set security address-book book2 attach zone untrust
-
Cree políticas de seguridad para permitir el tráfico entre los hosts.
[edit] user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match source-address Host2 user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match destination-address Host1 user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 match application any user@SRX2# set security policies from-zone trust to-zone untrust policy to-SRX1 then permit user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match source-address Host1 user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match destination-address Host2 user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 match application any user@SRX2# set security policies from-zone untrust to-zone trust policy from-SRX1 then permit
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-optionsy show security para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX2# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.21.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.31.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.1.100.2/24;
}
}
}[edit]
user@SRX2# show routing-options
static {
route 172.16.11.1/32 next-hop 10.1.31.2;
route 10.1.11.0/24 next-hop st0.0;
}[edit]
user@SRX2# show security
address-book {
book1 {
address Host2 10.1.21.0/24;
attach {
zone trust;
}
}
book2 {
address Host1 10.1.11.0/24;
attach {
zone untrust;
}
}
}
policies {
from-zone trust to-zone untrust {
policy to-SRX1 {
match {
source-address Host2;
destination-address Host1;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy from-SRX1 {
match {
source-address Host1;
destination-address Host2;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
}Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de ICR para SRX2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 172.16.11.1 set security ike gateway gw1 local-identity user-at-hostname "srx2@example.com" set security ike gateway gw1 remote-identity user-at-hostname "srx1@example.com" set security ike gateway gw1 external-interface ge-0/0/1.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar ICR:
-
Cree una propuesta de fase 1 de ICR.
[edit] user@SRX2# set security ike proposal ike_prop authentication-method pre-shared-keys user@SRX2# set security ike proposal ike_prop dh-group group2 user@SRX2# set security ike proposal ike_prop authentication-algorithm sha1 user@SRX2# set security ike proposal ike_prop encryption-algorithm 3des-cbc
-
Cree una política de fase 1 de ICR.
[edit] user@SRX2# set security ike policy ike_pol mode main user@SRX2# set security ike policy ike_pol proposals ike_prop user@SRX2# set security ike policy ike_pol pre-shared-key ascii-text “$ABC123”
-
Configure los parámetros de puerta de enlace de fase IKE 1. La dirección de puerta de enlace debe ser la IP de SRX1.
[edit] user@SRX2# set security ike gateway gw1 ike-policy ike_pol user@SRX2# set security ike gateway gw1 address 172.16.11.1 user@SRX2# set security ike gateway gw1 local-identity user-at-hostname "srx2@example.com" user@SRX2# set security ike gateway gw1 remote-identity user-at-hostname "srx1@example.com" user@SRX2# set security ike gateway gw1 external-interface ge-0/0/1.0
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX2# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text "$9$mP5QF3/At0IE-VsYoa36/"; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike_pol;
address 172.16.11.1;
local-identity user-at-hostname "srx2@example.com";
remote-identity user-at-hostname "srx1@example.com";
external-interface ge-0/0/1.0;
}Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IPsec para SRX2
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar IPsec:
-
Cree una propuesta de fase 2 de IPsec.
[edit] user@SRX2# set security ipsec proposal ipsec_prop protocol esp user@SRX2# set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 user@SRX2# set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc
-
Cree la política de fase 2 de IPsec.
[edit] user@SRX2# set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 user@SRX2# set security ipsec policy ipsec_pol proposals ipsec_prop
-
Configure los parámetros IPsec VPN.
[edit] user@SRX2# set security ipsec vpn vpn1 bind-interface st0.0 user@SRX2# set security ipsec vpn vpn1 ike gateway gw1 user@SRX2# set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol user@SRX2# set security ipsec vpn vpn1 establish-tunnels immediately
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@SRX2# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración para el dispositivo TDR
Configuración rápida de CLI
En el ejemplo, se utiliza TDR estático. TDR estático es bidireccional, lo que significa que el tráfico de 10.1.31.1 a 172.16.11.1 también utilizará la misma configuración TDR.
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat static rule-set rule1 from zone untrust set security nat static rule-set rule1 rule ipsec match source-address 172.16.11.1/32 set security nat static rule-set rule1 rule ipsec match destination-address 172.16.21.1/32 set security nat static rule-set rule1 rule ipsec then static-nat prefix 10.1.31.1/32 set security policies from-zone trust to-zone untrust policy allow-out match source-address any set security policies from-zone trust to-zone untrust policy allow-out match destination-address any set security policies from-zone trust to-zone untrust policy allow-out match application any set security policies from-zone trust to-zone untrust policy allow-out then permit set security policies from-zone untrust to-zone trust policy allow-out-in match source-address any set security policies from-zone untrust to-zone trust policy allow-out-in match destination-address any set security policies from-zone untrust to-zone trust policy allow-out-in match application any set security policies from-zone untrust to-zone trust policy allow-out-in then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 172.16.21.1/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.31.2/24 set routing-options static route 172.16.11.0/24 next-hop 172.16.21.2
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el estado de fase 1 de ICR en SRX1
- Verificar asociaciones de seguridad de IPsec en SRX1
- Verificar el estado de fase 1 de ICR en SRX2
- Verificar asociaciones de seguridad de IPsec en SRX2
- Verificar la accesibilidad de host a host
Verificar el estado de fase 1 de ICR en SRX1
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Desde el modo operativo, ingrese el show security ike security-associations comando. Para obtener un resultado más detallado, utilice el show security ike security-associations detail comando.
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 302301 UP 84e8fc61d0750278 ea9a07ef032805b6 Main 172.16.21.1
user@SRX1> show security ike security-associations detail
IKE peer 172.16.21.1, Index 302301, Gateway Name: gw1
Role: Initiator, State: UP
Initiator cookie: 84e8fc61d0750278, Responder cookie: ea9a07ef032805b6
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.11.1:4500, Remote: 172.16.21.1:4500
Lifetime: Expires in 19657 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: srx2@example.com
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1780
Output bytes : 2352
Input packets: 7
Output packets: 14
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 0
Local: 172.16.11.1:4500, Remote: 172.16.21.1:4500
Local identity: srx1@example.com
Remote identity: srx2@example.com
Flags: IKE SA is createdSignificado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
-
Índice: este valor es único para cada SA IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información sobre la SA. -
Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación par a par. Recuerde que TDR-T encapsula el tráfico de IKE y ESP dentro de UDP con el puerto 4500.
-
Estado del iniciador de rol
-
Ascendente: se establece la SA de fase 1.
-
Abajo: hubo un problema al establecer la SA de fase 1.
-
Ambos pares del par SA IPsec usan el puerto 4500.
-
ID de IKE par: compruebe que la dirección remota es correcta.
-
Identidad local e identidad remota: compruebe que son correctas.
-
-
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)
-
Parámetros de política de ICR
-
Información de claves previamente compartidas
-
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de asociaciones de seguridad:
-
Algoritmos de autenticación y cifrado utilizados
-
Vida útil de la fase 1
-
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
-
Información de funciones
La solución de problemas se realiza mejor en el par que usa la función de responder.
-
Información del iniciador y del respondedor
-
Número de SA de IPsec creadas
-
Número de negociaciones de fase 2 en curso
Verificar asociaciones de seguridad de IPsec en SRX1
Propósito
Compruebe el estado de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando. Para obtener un resultado más detallado, utilice el show security ipsec security-associations detail comando.
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 fc5dbac4 2160/ unlim - root 4500 172.16.21.1 >131073 ESP:3des/sha1 45fed9d8 2160/ unlim - root 4500 172.16.21.1
user@SRX1> show security ipsec security-associations detail
ID: 131073 Virtual-system: root, VPN Name: vpn1
Local Gateway: 172.16.11.1, Remote Gateway: 172.16.21.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 22 2022 11:07:40 -0700: IPSec SA rekey successfully completed (3 times)
Fri Jul 22 2022 08:38:41 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:41 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:38:41 -0700: IKE SA negotiation successfully completed (3 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:26 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:38:25 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:24 -0700: User cleared IPSec SA from CLI (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA negotiation successfully completed (1 times)
Direction: inbound, SPI: fc5dbac4, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2153 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1532 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 45fed9d8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2153 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1532 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
-
La puerta de enlace remota tiene unadirección n de 172.1 6. 21.1.
-
Ambos pares del par SA IPsec usan el puerto 4500.
-
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 2160/ unlim indica que la vida útil de fase 2 caduca en 2160 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está desactivada.
-
El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.
Verificar el estado de fase 1 de ICR en SRX2
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Desde el modo operativo, ingrese el show security ike security-associations comando. Para obtener un resultado más detallado, utilice el show security ike security-associations detail comando.
user@SRX2> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5567091 UP 84e8fc61d0750278 ea9a07ef032805b6 Main 172.16.11.1
user@SRX2> show security ike security-associations detail
IKE peer 172.16.11.1, Index 5567091, Gateway Name: gw1
Role: Responder, State: UP
Initiator cookie: 84e8fc61d0750278, Responder cookie: ea9a07ef032805b6
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.31.1:4500, Remote: 172.16.11.1:4500
Lifetime: Expires in 18028 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: srx1@example.com
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 2352
Output bytes : 1780
Input packets: 14
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 3 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 10.1.31.1:4500, Remote: 172.16.11.1:4500
Local identity: srx2@example.com
Remote identity: srx1@example.com
Flags: IKE SA is createdSignificado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
-
Índice: este valor es único para cada SA IKE, que puede utilizar en el
show security ike security-associations detailcomando para obtener más información sobre la SA. -
Dirección remota: compruebe que la dirección IP remota sea correcta y que el puerto 4500 se esté utilizando para la comunicación par a par.
-
Estado de respuesta de rol
-
Ascendente: se estableció la SA de fase 1.
-
Abajo: hubo un problema al establecer la SA de fase 1.
-
ID de IKE par: verifique que la dirección sea correcta.
-
Identidad local e identidad remota: compruebe que estas direcciones son correctas.
-
-
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)
-
Parámetros de política de ICR
-
Información de claves previamente compartidas
-
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de asociaciones de seguridad:
-
Algoritmos de autenticación y cifrado utilizados
-
Vida útil de la fase 1
-
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
-
Información de funciones
La solución de problemas se realiza mejor en el par que usa la función de responder.
-
Información del iniciador y del respondedor
-
Número de SA de IPsec creadas
-
Número de negociaciones de fase 2 en curso
Verificar asociaciones de seguridad de IPsec en SRX2
Propósito
Compruebe el estado de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando. Para obtener un resultado más detallado, utilice el show security ipsec security-associations detail comando.
user@SRX2> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:3des/sha1 45fed9d8 1526/ unlim - root 4500 172.16.11.1 >131073 ESP:3des/sha1 fc5dbac4 1526/ unlim - root 4500 172.16.11.1
user@SRX2> show security ipsec security-associations detail
ID: 131073 Virtual-system: root, VPN Name: vpn1
Local Gateway: 10.1.31.1, Remote Gateway: 172.16.11.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 4500, Nego#: 25, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 22 2022 11:07:40 -0700: IPSec SA negotiation successfully completed (4 times)
Fri Jul 22 2022 08:38:41 -0700: Initial-Contact received from peer. Stale IKE/IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:38:41 -0700: IKE SA negotiation successfully completed (5 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:26 -0700: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:38:25 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:38:25 -0700: Initial-Contact received from peer. Stale IKE/IPSec SAs cleared (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA negotiation successfully completed (1 times)
Fri Jul 22 2022 08:37:37 -0700: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Thu Jul 21 2022 17:57:09 -0700: Peer's IKE-ID validation failed during negotiation (1 times)
Thu Jul 21 2022 17:49:30 -0700: IKE SA negotiation successfully completed (4 times)
Direction: inbound, SPI: 45fed9d8, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1461 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 885 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: fc5dbac4, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1461 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 885 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
-
La puerta de enlace remota tiene una dirección IP de 172. 16. 11.1.
-
Ambos pares del par SA IPsec usan el puerto 4500.
-
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 1562/ unlim indica que la vida útil de fase 2 caduca en 1562 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está desactivada.
-
El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.
El resultado del show security ipsec security-associations index index_iddetail comando enumera la siguiente información:
-
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una de las causas más comunes de una falla de fase 2 es una discordancia del ID de proxy. Si no se muestra ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores externos, el ID de proxy se debe ingresar manualmente para que coincida.
-
Otra razón común para el error de fase 2 es no especificar el enlace de interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca las opciones de seguimiento.
Verificar la accesibilidad de host a host
Propósito
Verificar que el Host1 pueda comunicarse con el Host2.
Acción
Desde Host1 ping Host2. Para comprobar que el tráfico está usando la VPN, utilice el comando show security ipsec statistics en SRX1. Desactive las estadísticas mediante el comando clear security ipsec statistics antes de ejecutar el comando ping.
user@Host1> ping 10.1.21.2 count 10 rapid PING 10.1.21.2 (10.1.21.2): 56 data bytes !!!!!!!!!! --- 10.1.21.2 ping statistics --- 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.437/4.270/7.637/1.158 ms
user@SRX1> show security ipsec statistics ESP Statistics: Encrypted bytes: 1360 Decrypted bytes: 840 Encrypted packets: 10 Decrypted packets: 10 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Significado
Los resultados muestran que Host1 puede hacer ping al Host2 y que el tráfico está usando la VPN.
Ejemplo: Configurar una VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo TDR
En este ejemplo, se muestra cómo configurar una VPN basada en políticas con un iniciador y un respondedor detrás de un dispositivo TDR para permitir que los datos se transfieran de forma segura entre una sucursal y la oficina corporativa.
Requisitos
Antes de empezar, lea Descripción general de IPsec.
Descripción general
En este ejemplo, configura una VPN basada en políticas para una sucursal en Chicago, Illinois, ya que desea conservar los recursos de túnel, pero seguir teniendo restricciones detalladas en el tráfico de VPN. Los usuarios de la sucursal usarán la VPN para conectarse a sus sedes corporativas en Sunnyvale, California.
En este ejemplo, se configuran interfaces, opciones de enrutamiento, zonas de seguridad y políticas de seguridad tanto para un iniciador como para un respondedor.
Figura 2 muestra un ejemplo de una topología para una VPN con un iniciador y un respondedor detrás de un dispositivo TDR estático.
En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. Luego, configure la fase 1 de ICR, incluidos los pares locales y remotos, la fase 2 de IPsec y la política de seguridad. Tenga en cuenta en el ejemplo anterior, la dirección IP privada del respondedor 13.168.11.1 es ocultada por el dispositivo TDR estático y asignada a la dirección IP pública 1.1.100.1.
Consulte Tabla 7 a través Tabla 10 para ver los parámetros de configuración específicos utilizados para el iniciador en los ejemplos.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaces |
ge-0/0/0 |
12.168.99.100/24 |
ge-0/0/1 |
10.1.99.1/24 |
|
Rutas estáticas |
10.2.99.0/24 (ruta predeterminada) |
El siguiente salto es 12.168.99.100. |
1.1.100.0/24 |
12.168.99.100 |
|
Zonas de seguridad |
confianza |
|
Untrust |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ike_prop |
|
Política |
ike_pol |
|
Gateway |
Puerta |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ipsec_prop |
|
Política |
ipsec_pol |
|
VPN |
first_vpn |
|
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
La política de seguridad permite el tráfico de túnel desde la zona de confianza hasta la zona de no confianza. |
pol1 |
|
La política de seguridad permite el tráfico de túnel desde la zona de no confianza hasta la zona de confianza. |
pol1 |
|
Consulte Tabla 11 a través Tabla 14 para ver los parámetros de configuración específicos que se utilizan para el responder en los ejemplos.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaces |
ge-0/0/0 |
13.168.11.100/24 |
ge-0/0/1 |
10.2.99.1/24 |
|
Rutas estáticas |
10.1.99.0/24 (ruta predeterminada) |
El siguiente salto es 13.168.11.100 |
1.1.100.0/24 |
13.168.11.100 |
|
Zonas de seguridad |
confianza |
|
Untrust |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ike_prop |
|
Política |
ike_pol |
|
Gateway |
Puerta |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ipsec_prop |
|
Política |
ipsec_pol |
|
VPN |
first_vpn |
|
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
La política de seguridad permite el tráfico de túnel desde la zona de confianza hasta la zona de no confianza. |
pol1 |
|
La política de seguridad permite el tráfico de túnel desde la zona de no confianza hasta la zona de confianza. |
pol1 |
|
Configuración
- Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el iniciador
- Configuración de ICR para el iniciador
- Configuración de IPsec para el iniciador
- Configuración de políticas de seguridad para el iniciador
- Configuración de TDR para el iniciador
- Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el responder
- Configuración de ICR para el responder
- Configuración de IPsec para el responder
- Configuración de políticas de seguridad para el responder
- Configuración de TDR para el responder
Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
[edit] set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24 set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/0.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar interfaces, rutas estáticas y zonas de seguridad:
Configure la información de interfaz Ethernet.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24
Configure la información de ruta estática.
[edit] user@host# set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1
Configure la zona de seguridad de confianza.
[edit ] user@host# set security zones security-zone trust host-inbound-traffic protocols all
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
Especifique servicios del sistema para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Asigne una interfaz a la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
Resultados
Desde el modo de configuración, ingrese los show interfacescomandos , show routing-optionsy , si show security zones el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.99.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.2.99.0/24 next-hop 12.168.99.1;
route 1.1.100.0/24 next-hop 12.168.99.1;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de ICR para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123” set security ike gateway gate ike-policy ike_pol set security ike gateway gate address 13.168.11.100 set security ike gateway gate external-interface ge-0/0/0.0 set security ike gateway gate local-identity hostname chicago
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar ICR:
Cree la propuesta de fase 1 de ICR.
[edit security ike] user@host# edit proposal ike_prop
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-keys
Defina el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set dh-group group2
Defina el algoritmo de autenticación de propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
Defina el algoritmo de cifrado de propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
Cree una política de fase 1 de ICR.
[edit security ike policy ] user@host# edit policy ike_pol
Establezca el modo de política de fase 1 de ICR.
[edit security ike policy ike_pol] user@host# set mode aggressive
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike_pol] user@host# set proposals ike_prop
Defina el método de autenticación de política de fase 1 de ICR.
[edit security ike policy ike_pol pre-shared-key] user@host# set ascii-text "$ABC123”
Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.
[edit security ike ] user@host# set gateway gate external-interface ge-0/0/0.0
Cree una dirección de puerta de enlace de fase 1 de ICR.
[edit security ike gateway gate] set address 13.168.11.100
Defina la referencia de política de fase 1 de ICR.
[edit security ike gateway gate] set ike-policy ike_pol
Establecer
local-identitypara el par local.[edit security ike gateway gate] user@host# set local-identity hostname chicago
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
pre-shared-key ascii-text "$ABC123”
}
gateway gate {
ike-policy ike_pol;
address 13.168.11.100;
local-identity hostname chicago;
external-interface ge-0/0/0.0;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IPsec para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol set security ipsec vpn first_vpn establish-tunnels immediately
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar IPsec:
Cree una propuesta de fase 2 de IPsec.
[edit] user@host# edit security ipsec proposal ipsec_prop
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
Especifique la referencia de la propuesta de fase 2 de IPsec.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Especifique la fase 2 de IPsec para usar el grupo de confidencialidad directa perfecta (PFS)1.
[edit security ipsec policy ipsec_pol ] user@host# set perfect-forward-secrecy keys group1
Especifique la puerta de enlace de ICR.
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
Especifique la política de fase 2 de IPsec.
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group1;
}
proposals ipsec_prop;
}
vpn first_vpn {
ike {
gateway gate;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de políticas de seguridad para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar políticas de seguridad:
Cree la política de seguridad para permitir el tráfico desde la zona de confianza hasta la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Cree la política de seguridad para permitir el tráfico desde la zona de no confianza hasta la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pol1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
from-zone untrust to-zone trust {
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de TDR para el iniciador
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.23/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.22
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el iniciador que proporciona TDR:
Configure interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 12.168.99.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.23/24
Configurar zonas.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
Configure TDR.
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
Configure la política de seguridad predeterminada.
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
Configure la opción de enrutamiento.
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.22
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security nat
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.23/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.22;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de interfaz, opciones de enrutamiento y zonas de seguridad para el responder
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24 set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar interfaces, rutas estáticas, zonas de seguridad y políticas de seguridad:
Configure la información de interfaz Ethernet.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24
Configure la información de ruta estática.
[edit] user@host# set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1
Asigne una interfaz a la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
Configure la zona de seguridad de confianza.
[edit] user@host# set security zones security-zone trust host-inbound-traffic protocols all
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-optionsy show security zones para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.2.99.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.1.99.0/24 next-hop 13.168.11.1;
route 1.1.100.0/24 next-hop 13.168.11.1;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de ICR para el responder
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123" set security ike gateway gate ike-policy ike_pol set security ike gateway gate dynamic hostname chicago set security ike gateway gate external-interface ge-0/0/0.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar ICR:
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-key
Defina el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set dh-group group2
Defina el algoritmo de autenticación de propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
Defina el algoritmo de cifrado de propuesta de ICR.
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
Cree una política de fase 1 de ICR.
[edit security ike] user@host# edit policy ike_pol
Establezca el modo de política de fase 1 de ICR.
[edit security ike policy ike_pol] user@host# set mode aggressive
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike_pol] user@host# set proposals ike_prop
Defina el método de autenticación de política de fase 1 de ICR.
[edit security ike policy ike_pol] user@host# set pre-shared-key ascii-text "$ABC123"
Cree una puerta de enlace de fase 1 de ICR y defina su nombre de host dinámico.
[edit security ike gateway gate] user@host# set dynamic hostname chicago
Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.
[edit security ike gateway gate] user@host# set external-interface ge-0/0/0.0
Defina la referencia de política de fase 1 de ICR.
[edit security ike gateway gate] user@host# set ike-policy ike_pol
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
pre-shared-key ascii-text "$ABC123";
}
gateway gate {
ike-policy ike_pol;
dynamic hostname chicago;
external-interface ge-0/0/0.0;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IPsec para el responder
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar IPsec:
Cree una propuesta de fase 2 de IPsec.
[edit] user@host# edit security ipsec proposal ipsec_prop
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security security ipsec proposal ipsec_prop] user@host# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
Cree la política de fase 2 de IPsec.
[edit security ipsec] user@host# edit policy ipsec_pol
Establezca la fase 2 de IPsec para usar el grupo de confidencialidad directa perfecta (PFS)1.
[edit security ipsec policy ipsec_pol] user@host# set perfect-forward-secrecy keys group1
Especifique la referencia de la propuesta de fase 2 de IPsec.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Especifique la puerta de enlace de ICR.
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
Especifique la política de fase 2 de IPsec.
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group1;
}
proposals ipsec_prop;
}
vpn first_vpn {
ike {
gateway gate;
ipsec-policy ipsec_pol;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de políticas de seguridad para el responder
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar políticas de seguridad:
Cree la política de seguridad para permitir el tráfico desde la zona de confianza hasta la zona de no confianza.
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Cree la política de seguridad para permitir el tráfico desde la zona de no confianza hasta la zona de confianza.
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pol1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
from-zone untrust to-zone trust {
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de TDR para el responder
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.22/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.23
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el responder que proporciona TDR:
Configure interfaces.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 13.168.11.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.22/24
Configurar zonas.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
Configure TDR.
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
Configure la política de seguridad predeterminada.
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
Configure la opción de enrutamiento.
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.23
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show security nat
nat {
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.22/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.23;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar el estado de fase 1 de ICR para el iniciador
- Verificar asociaciones de seguridad IPsec para el iniciador
- Verificar el estado de fase 1 de ICR para el responder
- Verificar asociaciones de seguridad de IPsec para el responder
Verificar el estado de fase 1 de ICR para el iniciador
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host de la red 10.1.99.0 a un host de la red 10.2.99.0. En el caso de las VPN basadas en rutas, el dispositivo de la serie SRX puede iniciar el tráfico a través del túnel. Recomendamos que, al probar túneles IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un lado de la VPN a un segundo dispositivo al otro lado de la VPN. Por ejemplo, inicie una operación de ping de 10.1.99.2 a 10.2.99.2.
Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5649304 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 13.168.11.
user@host> show security ike security-associations index 5649304 detail
IKE peer 13.168.11.100, Index 5649304, Gateway Name: gate
Role: Initiator, State: UP
Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500
Lifetime: Expires in 26359 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 13.168.11.100
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-md5-96
Encryption : 3des-cbc
Pseudo random function: hmac-md5
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1140
Output bytes : 1203
Input packets: 6
Output packets: 6
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 3 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 0
Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500
Local identity: chicago
Remote identity: 13.168.11.100
Flags: IKE SA is created
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
Índice: este valor es único para cada SA IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información sobre la SA.Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 4500 se está utilizando para la comunicación par a par.
Estado del iniciador de rol
Ascendente: se estableció la SA de fase 1.
Abajo: hubo un problema al establecer la SA de fase 1.
Ambos pares del par SA IPsec utilizan el puerto 4500, lo que indica que se implementa TDR-T. (TDR-T usa el puerto 4500 u otro puerto aleatorio de alto número.)
ID de IKE par: compruebe que el ID remoto (de respuesta) sea correcto. En este ejemplo, el nombre de host es sunnyvale.
Identidad local e identidad remota: compruebe que son correctas.
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)
Parámetros de política de ICR
Información de claves previamente compartidas
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de asociaciones de seguridad:
Algoritmos de autenticación y cifrado utilizados
Vida útil de la fase 1
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de funciones
La solución de problemas se realiza mejor en el par que usa la función de responder.
Información del iniciador y del respondedor
Número de SA de IPsec creadas
Número de negociaciones de fase 2 en curso
Verificar asociaciones de seguridad IPsec para el iniciador
Propósito
Compruebe el estado de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/md5 aff3ac30 1103/ unlim - root 4500 13.168.11.100 >2 ESP:3des/md5 40539d12 1103/ unlim - root 4500 13.168.11.100
user@host> show security ipsec security-associations detail
ID: 2 Virtual-system: root, VPN Name: first_vpn
Local Gateway: 12.168.99.100, Remote Gateway: 13.168.11.100
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1
Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Wed Apr 08 2020 19:13:53: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Apr 08 2020 19:13:09: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:13:09: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:13:09: IKE SA negotiation successfully completed (5 times)
Wed Apr 08 2020 19:12:18: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:12:18: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:12:12: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:12:12: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:06:52: Peer's IKE-ID validation failed during negotiation (2 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (2 times)
Wed Apr 08 2020 19:05:26: Peer's IKE-ID validation failed during negotiation (1 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Apr 08 2020 19:04:26: Peer's IKE-ID validation failed during negotiation (1 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Apr 08 2020 19:03:26: Peer's IKE-ID validation failed during negotiation (1 times)
Direction: inbound, SPI: aff3ac30, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1093 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 453 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1093 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 453 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
La puerta de enlace remota tiene una dirección TDR de 13.168.11.100.
Ambos pares del par SA IPsec utilizan el puerto 4500, lo que indica que se implementa TDR-T. (TDR-T usa el puerto 4500 u otro puerto aleatorio de alto número).
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 3390/ ilimitado indica que la vida útil de fase 2 caduca en 3390 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está desactivada.
El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.
Verificar el estado de fase 1 de ICR para el responder
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2914355 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 1.1.100.23
user@host> show security ike security-associations index 2914355 detail
IKE peer 1.1.100.23, Index 2914355, Gateway Name: gate
Role: Responder, State: UP
Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434
Lifetime: Expires in 26137 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: chicago
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-md5-96
Encryption : 3des-cbc
Pseudo random function: hmac-md5
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1203
Output bytes : 1140
Input packets: 6
Output packets: 6
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434
Local identity: 13.168.11.100
Remote identity: chicago
Flags: IKE SA is created
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
Índice: este valor es único para cada SA IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información sobre la SA.Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 4500 se está utilizando para la comunicación par a par.
Estado de respuesta de rol
Ascendente: se estableció la SA de fase 1.
Abajo: hubo un problema al establecer la SA de fase 1.
ID de IKE par: compruebe que el ID local del par es correcto. En este ejemplo, el nombre de host es chicago.
Identidad local e identidad remota: compruebe que son correctas.
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)
Parámetros de política de ICR
Información de claves previamente compartidas
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de asociaciones de seguridad:
Algoritmos de autenticación y cifrado utilizados
Vida útil de la fase 1
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de funciones
La solución de problemas se realiza mejor en el par que usa la función de responder.
Información del iniciador y del respondedor
Número de SA de IPsec creadas
Número de negociaciones de fase 2 en curso
Verificar asociaciones de seguridad de IPsec para el responder
Propósito
Compruebe el estado de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108878 ESP:3des/md5 40539d12 939/ unlim - root 23434 1.1.100.23 >67108878 ESP:3des/md5 aff3ac30 939/ unlim - root 23434 1.1.100.23
user@host> show security ipsec security-associations detail
ID: 67108878 Virtual-system: root, VPN Name: first_vpn
Local Gateway: 13.168.11.100, Remote Gateway: 1.1.100.23
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1
Port: 23434, Nego#: 8, Fail#: 0, Def-Del#: 0 Flag: 0x608829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Wed Apr 08 2020 19:14:22: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:14:15: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:13:39: IPSec SA negotiation successfully completed (3 times)
Wed Apr 08 2020 19:13:39: IKE SA negotiation successfully completed (4 times)
Wed Apr 08 2020
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Apr 08 2020 19:10:39: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020 19:10:20: User cleared IPSec SA from CLI (1 times)
Wed Apr 08 2020 19:10:08: IPSec SA negotiation successfully completed (1 times)
Wed Apr 08 2020
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Direction: inbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 335 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: aff3ac30, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 335 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
La puerta de enlace remota tiene una dirección TDR de 1.1.100.23.
Ambos pares del par SA IPsec utilizan el puerto 4500, lo que indica que se implementa TDR-T. (TDR-T usa el puerto 4500 u otro puerto aleatorio de alto número.)
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 3571/ unlim indica que la vida útil de la fase 2 caduca en 3571 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está desactivada.
El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.
Ejemplo: Configurar TDR-T con VPN de punto de conexión dinámico
En este ejemplo, se muestra cómo configurar una VPN basada en rutas en la que el iniciador IKEv2 es un punto de conexión dinámico detrás de un dispositivo TDR.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos dispositivos serie SRX configurados en un clúster de chasis
Un dispositivo serie SRX que proporciona TDR
Un dispositivo serie SRX que proporciona acceso a la red de las sucursales
Junos OS versión 12.1X46-D10 o posterior para compatibilidad con NAT-T IKEv2
Descripción general
En este ejemplo, se configura una VPN IPsec entre la sucursal (iniciadora de IKEv2) y la sede central (respondedor de IKEv2) para proteger el tráfico de red entre las dos ubicaciones. La sucursal se encuentra detrás del dispositivo TDR. La dirección de la sucursal se asigna dinámicamente y es desconocida para el respondente. El iniciador está configurado con la identidad remota del respondedor para la negociación de túnel. Esta configuración establece una VPN de punto de conexión dinámico entre los pares en el dispositivo TDR.
Figura 3 muestra un ejemplo de una topología con TDR-Traversal (NAT-T) y VPN de punto de conexión dinámico.
En este ejemplo, la dirección IP del iniciador, 192.179.100.50, que se asignó dinámicamente al dispositivo, es ocultada por el dispositivo TDR y traducida a 100.10.1.253.
En este ejemplo, se aplican las siguientes opciones de configuración:
La identidad local configurada en el iniciador debe coincidir con la identidad de puerta de enlace remota configurada en el respondedor.
Las opciones de fase 1 y fase 2 deben coincidir entre el iniciador y el respondedor.
En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.
A partir de Junos OS versión 12.1X46-D10 y Junos OS versión 17.3R1, el valor predeterminado de la nat-keepalive opción configurada en el [edit security ike gateway gateway-name] nivel de jerarquía se cambió de 5 segundos a 20 segundos.
En los dispositivos SRX1400, SRX3400, SRX3600, SRX5600 y SRX5800, las negociaciones de IKE que implican recorrido TDR no funcionan si el par IKE está detrás de un dispositivo TDR que cambiará la dirección IP de origen de los paquetes IKE durante la negociación. Por ejemplo, si el dispositivo TDR está configurado con DIP, cambia la IP de origen porque el protocolo IKE cambia el puerto UDP de 500 a 4500. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)
Configuración
- Configuración del dispositivo de la sucursal (iniciador IKEv2)
- Configuración del dispositivo TDR
- Configuración del dispositivo de la sede central (IKEv2 Responder)
Configuración del dispositivo de la sucursal (iniciador IKEv2)
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 192.179.100.50/24 set interfaces ge-0/0/2 unit 0 family inet address 192.179.2.20/24 set interfaces st0 unit 0 family inet address 172.168.100.1/16 set routing-options static route 192.179.1.0/24 next-hop st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway HQ_GW ike-policy IKE_POL set security ike gateway HQ_GW address 100.10.1.50 set security ike gateway HQ_GW local-identity hostname branch.example.net set security ike gateway HQ_GW external-interface ge-0/0/1.0 set security ike gateway HQ_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn HQ_VPN bind-interface st0.0 set security ipsec vpn HQ_VPN ike gateway HQ_GW set security ipsec vpn HQ_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn HQ_VPN establish-tunnels immediately set security policies default-policy permit-all
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el dispositivo de la sucursal:
Configure interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 192.179.100.50/24 user@host# set ge-0/0/2 unit 0 family inet address 192.179.2.20/24 user@host# set st0 unit 0 family inet address 172.168.100.1/16
Configure las opciones de enrutamiento.
[edit routing-options] user@host# set static route 192.179.1.0/24 next-hop st0.0
Configurar zonas.
[edit security zones security-zones trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/2.0 [edit security zones security-zones untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host#set interfaces st0.0
Configure las opciones de fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway HQ_GW] user@host# set ike-policy IKE_POL user@host# set address 100.10.1.50 user@host# set local-identity hostname branch.example.net user@host# set external-interface ge-0/0/1.0 user@host# set version v2-only
Configure las opciones de fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set proposals IPSEC_PROP user@host# set perfect-forward-secrecy keys group5 [edit security ipsec vpn HQ_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway HQ_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Configure la política de seguridad.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-options, show security ipsecshow security zonesshow security ikey show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.179.100.50/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.179.2.20/24;
}
}
}
st0 {
unit 0 {
family inet {
address 172.168.100.1/16;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.179.1.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$ABC123”
}
gateway HQ_GW{
ike-policy IKE_POL;
address 100.10.1.50;
local-identity hostname branch.example.net;
external-interface ge-0/0/1.0;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn HQ_VPN {
bind-interface st0.0;
ike {
gateway HQ_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del dispositivo TDR
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 100.10.1.253/24 set interfaces fe-0/0/2 unit 0 family inet address 192.179.100.253/24 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/2.0 set security nat source rule-set DYNAMIC from zone untrust set security nat source rule-set DYNAMIC to zone trust set security nat source rule-set DYNAMIC rule R2R3 match source-address 0.0.0.0/0 set security nat source rule-set DYNAMIC rule R2R3 then source-nat interface set security policies default-policy permit-all
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el enrutador intermedio que proporciona TDR:
Configure interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 100.10.1.253/24 user@host# set fe-0/0/2 unit 0 family inet address 192.179.100.253/24
Configurar zonas.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/2.0
Configure TDR.
[edit security nat source rule-set DYNAMIC] user@host# set from zone untrust user@host# set to zone trust user@host# set rule R2R3 match source-address 0.0.0.0/0 user@host# set rule R2R3 then source-nat interface
Configure la política de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, ingrese los comandos , show security zones, show security nat sourcey show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 100.10.1.253/24;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 192.179.100.253/24;
}
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/2.0;
}
}
[edit]
user@host# show security nat source
rule-set DYNAMIC {
from zone untrust;
to zone trust;
rule R2R3 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del dispositivo de la sede central (IKEv2 Responder)
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set chassis cluster reth-count 5 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/2 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/2 weight 255 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.179.1.10/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 100.10.1.50/24 set interfaces st0 unit 0 family inet address 172.168.100.2/16 set routing-options static route 192.179.2.0/24 next-hop st0.0 set routing-options static route 192.179.100.0/24 next-hop 100.10.1.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces reth0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway Branch_GW ike-policy IKE_POL set security ike gateway Branch_GW dynamic hostname branch.example.net set security ike gateway Branch_GW dead-peer-detection optimized set security ike gateway Branch_GW external-interface reth1.0 set security ike gateway Branch_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn Branch_VPN bind-interface st0.0 set security ipsec vpn Branch_VPN ike gateway Branch_GW set security ipsec vpn Branch_VPN ike ipsec-policy IPSEC_POL set security policies default-policy permit-all
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Configure dos nodos como clúster de chasis.
[edit chassis cluster] user@host# set reth-count 5 user@host# set redundancy-group 1 node 0 priority 220 user@host# set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-0/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-0/0/2 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/2 weight 255
Configure interfaces.
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth0 user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.179.1.10/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 100.10.1.50/24 user@host# set st0 unit 0 family inet address 172.168.100.2/16
Configure las opciones de enrutamiento.
[edit routing-options] user@host# set static route 192.179.2.0/24 next-hop st0.0 user@host# set static route 192.179.100.0/24 next-hop 100.10.1.253
Configurar zonas.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces st0.0 user@host# set interfaces reth1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth0.0
Configure las opciones de fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway Branch_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname branch.example.net user@host# set dead-peer-detection optimized user@host# set external-interface reth1.0 user@host# set version v2-only
Configure las opciones de fase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn Branch_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway Branch_GW user@host# set ike ipsec-policy IPSEC_POL
Configure la política de seguridad predeterminada.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, ingrese los comandos , show interfaces, show security ikeshow security zonesshow routing-optionsshow security ipsecy show security policies para confirmar la show chassis clusterconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show chassis cluster
reth-count 5;
redundancy-group 1 {
node 0 priority 220;
node 1 priority 149;
interface-monitor {
ge-0/0/1 weight 255;
ge-8/0/1 weight 255;
ge-0/0/2 weight 255;
ge-8/0/2 weight 255;
}
}
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/2 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.179.1.10/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 100.10.1.50/24;
}
}
}
st0 {
unit 0{
family inet {
address 172.168.100.2/16;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.179.2.0/24 next-hop st0.0;
route 192.179.100.0/24 next-hop 100.10.1.253;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
reth1.0;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text “$ABC123”
}
gateway Branch_GW {
ike-policy IKE_POL;
dynamic hostname branch.example.net;
dead-peer-detection optimized;
external-interface reth1.0;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn Branch_VPN {
bind-interface st0.0;
ike {
gateway Branch_GW;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Verificación
Confirme que la configuración funciona correctamente.
- Verificar el estado de fase 1 de ICR para el responder
- Verificar asociaciones de seguridad de IPsec para el responder
Verificar el estado de fase 1 de ICR para el responder
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Desde el modo operativo en el nodo 0, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations detail comando.
user@host# show security ike security-associations node0: Index State Initiator cookie Responder cookie Mode Remote Address 1367024684 UP f82c54347e2f3fb1 020e28e1e4cae003 IKEv2 100.10.1.253
user@host# show security ike security-associations detail node0: IKE peer 100.10.1.253, Index 1367024684, Gateway Name: Branch_GW Location: FPC 5, PIC 0, KMD-Instance 2 Role: Responder, State: UP Initiator cookie: f82c54347e2f3fb1, Responder cookie: 020e28e1e4cae003 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 100.10.1.50:4500, Remote: 100.10.1.253:2541 Lifetime: Expires in 3593 seconds Peer ike-id: branch.example.net Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 683 Output bytes : 400 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
Índice: este valor es único para cada SA IKE, que puede utilizar en el
show security ike security-associations index index_id detailcomando para obtener más información sobre la SA.Dirección remota: compruebe que la dirección IP local es correcta y que el puerto 4500 se está utilizando para la comunicación par a par.
Estado de respuesta de rol
Ascendente: se estableció la SA de fase 1.
Abajo: hubo un problema al establecer la SA de fase 1.
ID de IKE par: verifique que la dirección sea correcta.
Identidad local e identidad remota: compruebe que estas direcciones son correctas.
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
Interfaces externas (la interfaz debe ser la que envía paquetes IKE)
Parámetros de política de ICR
Información de claves previamente compartidas
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares)
El show security ike security-associations comando enumera información adicional acerca de asociaciones de seguridad:
Algoritmos de autenticación y cifrado utilizados
Vida útil de la fase 1
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de funciones
La solución de problemas se realiza mejor en el par que usa la función de responder.
Información del iniciador y del respondedor
Número de SA de IPsec creadas
Número de negociaciones de fase 2 en curso
Verificar asociaciones de seguridad de IPsec para el responder
Propósito
Compruebe el estado de IPsec.
Acción
Desde el modo operativo en el nodo 0, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations detail comando.
user@host# show security ipsec security-associations node0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77856771 ESP:aes-cbc-256/sha1 4ad5af40 7186/unlim - root 2541 100.10.1.253 >77856771 ESP:aes-cbc-256/sha1 5bb0a5ee 7186/unlim - root 2541 100.10.1.253
user@host# show security ipsec security-associations detail
node0
ID: 77856771 Virtual-system: root, VPN Name: Branch_VPN
Local Gateway: 100.10.1.50, Remote Gateway: 100.10.1.253
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv2
DF-bit: clear
Bind-interface: st0.0
Port: 2541, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 608a29
Tunnel Down Reason: SA not initiated
Location: FPC 5, PIC 0, KMD-Instance 2
Direction: inbound, SPI: 4ad5af40, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 7182 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 6587 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
La puerta de enlace remota tiene una dirección IP de 100.10.1.253.
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor de vida útil indica que la vida útil de fase 2 caduca en 7186 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.
El resultado del show security ipsec security-associations index index_id detail comando enumera la siguiente información:
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una de las causas más comunes de una falla de fase 2 es una discordancia del ID de proxy. Si no aparece ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, coincidan con ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores externos, el ID de proxy se debe ingresar manualmente para que coincida.
Otra razón común para el error de fase 2 es no especificar el enlace de interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca las opciones de seguimiento.
nat-keepalive opción configurada en el [edit security ike gateway gateway-name] nivel de jerarquía se cambió de 5 segundos a 20 segundos.