VPN IPsec basadas en rutas
Una VPN basada en rutas es una configuración en la que una ruta hace referencia a un túnel VPN IPsec creado entre dos puntos de final que determina qué tráfico se envía a través del túnel según una dirección IP de destino.
Descripción de VPN de IPsec basadas en rutas
Con las VPN basadas en rutas, puede configurar docenas de políticas de seguridad para regular el tráfico que fluye a través de un único túnel VPN entre dos sitios, y solo hay un conjunto de SA IKE e IPsec en funcionamiento. A diferencia de las VPN basadas en políticas, para las VPN basadas en rutas, una política se refiere a una dirección de destino, no a un túnel VPN. Cuando Junos OS busca una ruta para encontrar la interfaz que se utilizará para enviar tráfico a la dirección de destino del paquete, encuentra una ruta a través de una interfaz de túnel seguro (st0.x). La interfaz de túnel está enlazada a un túnel VPN específico y el tráfico se enruta al túnel si se permite la acción de política.
Una interfaz de túnel seguro (st0) solo admite una dirección IPv4 y una dirección IPv6 al mismo tiempo. Esto se aplica a todas las VPN basadas en rutas. La disable opción no se admite en interfaces st0.
Una interfaz de túnel segura (st0) de st0.16000 a st0.16385 está reservada para la alta disponibilidad de varios nodos y para el cifrado del vínculo de control de AD en el clúster de chasis. Estas interfaces no son interfaces configurables por el usuario. Solo puede usar interfaces de st0.0 a st0.15999.
Ejemplos de dónde se pueden usar las VPN basadas en rutas:
Hay subredes o direcciones IP superpuestas entre las dos LAN.
Se utiliza una topología VPN de concentrador y radio en la red, y se requiere tráfico de radio a radio.
Se requieren VPN principales y de respaldo.
Un protocolo de enrutamiento dinámico (por ejemplo, OSPF, RIP o BGP) se ejecuta en toda la VPN.
No se admite la configuración de circuitos de demanda RIP a través de interfaces VPN de punto a multipunto.
Recomendamos que utilice VPN basada en rutas cuando desee configurar VPN entre varios sitios remotos. La VPN basada en rutas permite el enrutamiento entre los radios entre varios sitios remotos; es más fácil de configurar, supervisar y solucionar problemas.
Consulte también
Ejemplo: Configurar una VPN basada en rutas
En este ejemplo, se muestra cómo configurar una VPN IPsec basada en rutas para permitir que los datos se transfieran de forma segura entre dos sitios.
Requisitos
En este ejemplo, se utiliza el siguiente hardware:
-
Cualquier firewall serie SRX
- Actualizado y revalidado mediante el firewall virtual vSRX en junos OS versión 20.4R1.
¿Le interesa obtener experiencia práctica con los temas y operaciones que se tratan en esta guía? Visite la demostración de VPN basada en rutas de IPsec en los laboratorios virtuales de Juniper Networks y reserve su espacio de pruebas gratis hoy mismo. Encontrará el sandbox basado en rutas VPN IPsec en la categoría seguridad.
Antes de empezar, lea Descripción general de IPsec.
Descripción general
En este ejemplo, se configura una VPN basada en rutas en SRX1 y SRX2. Host1 y Host2 usan la VPN para enviar tráfico de manera segura a través de Internet entre ambos hosts.
Figura 1 muestra un ejemplo de una topología VPN basada en rutas.
En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. Luego, configure IKE, IPsec, política de seguridad y parámetros TCP-MSS. Consulte Tabla 1 a través Tabla 5 para ver los parámetros de configuración específicos utilizados en este ejemplo.
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Interfaces |
ge-0/0/0.0 |
10.100.11.1/24 |
|
ge-0/0/1.0 |
172.16.13.1/24 |
|
|
st0.0 (interfaz de túnel) |
10.100.200.1/24 |
|
|
Rutas estáticas |
10.100.22.0/24 0.0.0.0/0 |
El siguiente salto es st0.0. El siguiente salto es 172.16.13.2. |
|
Zonas de seguridad |
confianza |
|
|
Untrust |
|
|
|
Vpn |
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
Estándar |
|
|
Política |
IKE-POL |
|
|
Gateway |
IKE-GW |
|
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
|
Propuesta |
Estándar |
|
|
Política |
IPSEC-POL |
|
|
VPN |
VPN-to-Host2 |
|
|
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
|
La política de seguridad permite el tráfico desde la zona de confianza hasta la zona VPN. |
SALIDA DE VPN |
|
|
La política de seguridad permite el tráfico desde la zona VPN hasta la zona de confianza. |
VPN-IN |
|
|
Propósito |
Parámetros de configuración |
|---|---|
|
TCP-MSS se negocia como parte de la negociación de tres vías TCP y limita el tamaño máximo de un segmento TCP para adaptarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y la trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que causa fragmentación. La fragmentación aumenta el ancho de banda y los recursos del dispositivo. Recomendamos un valor de 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con diferentes valores TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que deba cambiar el valor si algún dispositivo de la ruta tiene una MTU menor o si hay alguna sobrecarga adicional, como PPP o Frame Relay. |
Valor de MSS: 1350 |
Configuración
- Configurar información básica de red y zona de seguridad
- Configuración de ICR
- Configuración de IPsec
- Configuración de políticas de seguridad
- Configuración de TCP-MSS
- Configuración de SRX2
Configurar información básica de red y zona de seguridad
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set interfaces st0 unit 0 family inet address 10.100.200.1/24 set routing-options static route 10.100.22.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar la información de interfaz, ruta estática e zona de seguridad:
-
Configure las interfaces.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32 user@SRX1# set interfaces st0 unit 0 family inet address 10.100.200.1/24
-
Configure las rutas estáticas.
[edit] user@SRX1# set routing-options static route 10.100.22.0/24 next-hop st0.0 user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
Asigne la interfaz orientada a Internet a la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Asigne la interfaz frontal Host1 a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
-
Asigne la interfaz de túnel seguro a la zona de seguridad VPN.
[edit security zones security-zone VPN] user@SRX1# set interfaces st0.0
-
Especifique los servicios del sistema permitidos para la zona de seguridad VPN.
[edit security zones security-zone VPN] user@SRX1# set host-inbound-traffic system-services ping
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-optionsy show security zones para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
st0 {
unit 0 {
family inet {
address 10.100.200.1/24;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 10.100.22.0/24 next-hop st0.0;
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
Configuración de ICR
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar ICR:
-
Cree la propuesta de ICR.
[edit security ike] user@SRX1# set proposal standard
-
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
Cree una política de ICR.
[edit security ike] user@SRX1# set policy IKE-POL
-
Establezca el modo de política de ICR.
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
Especifique una referencia a la propuesta de ICR.
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
Defina el método de autenticación de política de ICR.
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
Cree una puerta de enlace IKE y defina su interfaz externa.
[edit security ike] user@SRX1# set gateway IKE-GW external-interface ge-0/0/1
-
Defina la referencia de política de ICR.
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
-
Defina la dirección de puerta de enlace de ICR.
[edit security ike gateway IKE-GW] user@SRX1# set address 172.16.23.1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@SRX1# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
Configuración de IPsec
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 bind-interface st0.0 set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar IPsec:
-
Cree una propuesta de IPsec.
[edit] user@SRX1# set security ipsec proposal standard
-
Cree la política IPsec.
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
Especifique la referencia de propuesta IPsec.
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
Especifique la puerta de enlace de ICR.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
Especifique la política IPsec.
[edit security ipsec] user@host# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
Especifique la interfaz que se desea enlazar.
[edit security ipsec] user@host# set vpn VPN-to-Host2 bind-interface st0.0
-
Configure el túnel para que se establezca de inmediato.
[edit security ipsec] user@host# set vpn VPN-to-Host2 establish-tunnels immediately
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
bind-interface st0.0;
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
Configuración de políticas de seguridad
Configuración rápida de CLI
Para configurar rápidamente las políticas de seguridad para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone VPN set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar políticas de seguridad:
-
Cree entradas de libreta de direcciones para las redes que se usarán en las políticas de seguridad.
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone VPN
-
Cree una política de seguridad para permitir el tráfico desde la zona de confianza a la zona de no confianza para el tráfico a Internet.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
Cree una política de seguridad para permitir el tráfico del Host1 en la zona de confianza destinada a Host2 en la zona VPN.
[edit security policies from-zone trust to-zone VPN] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit
-
Cree una política de seguridad para permitir el tráfico de Host2 en la zona VPN a Host1 en la zona de confianza.
[edit security policies from-zone VPN to-zone trust] user@host# set policy VPN-IN match source-address Host2-Net user@host# set policy VPN-IN match destination-address Host1-Net user@host# set policy VPN-IN match application any user@host# set policy VPN-IN then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies para confirmar la show security address-book configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security address-book
Host1 {
address Host1-Net 10.100.11.0/24;
attach {
zone trust;
}
}
Host2 {
address Host2-Net 10.100.22.0/24;
attach {
zone VPN;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit;
}
}
}
from-zone VPN to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit;
}
}
}
Configuración de TCP-MSS
Configuración rápida de CLI
Para configurar rápidamente TCP MSS para SRX1, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte la Guía del usuario de CLI.
Para configurar la información de TCP-MSS:
-
Configure la información de TCP-MSS.
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de SRX2
Configuración rápida de CLI
Como referencia, se proporciona la configuración del SRX2.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 bind-interface st0.0 set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone VPN set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set interfaces st0 unit 0 family inet address 10.100.200.2/24 set routing-options static route 10.100.11.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Verificación
Realice estas tareas para confirmar que la configuración funciona correctamente:
- Verificar el estado de ICR
- Verificar el estado de IPsec
- Probar el flujo de tráfico a través de la VPN
- Revisar estadísticas y errores para una asociación de seguridad IPsec
Verificar el estado de ICR
Propósito
Verifique el estado de ICR.
Acción
Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.
user@SRX1> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1859340 UP b153dc24ec214da9 5af2ee0c2043041a Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859340 detail
IKE peer 172.16.23.1, Index 1859340, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: b153dc24ec214da9, Responder cookie: 5af2ee0c2043041a
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 23038 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1236
Output bytes : 868
Input packets: 9
Output packets: 5
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 2 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
Significado
El show security ike security-associations comando enumera todas las SA de ICR activas. Si no se enumeran las SA, hubo un problema con el establecimiento de IKE. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
-
Índice: este valor es único para cada SA IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información sobre la SA. -
Dirección remota: compruebe que la dirección IP remota sea correcta.
-
Estado
-
UP: se estableció la SA de ICR.
-
ABAJO: hubo un problema al establecer la SA de IKE.
-
-
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que recibe paquetes IKE)
-
Parámetros de política de ICR
-
Información de claves previamente compartidas
-
Parámetros de propuesta (deben coincidir en ambos pares)
El show security ike security-associations index 1859340 detail comando enumera información adicional acerca de la asociación de seguridad con un número de índice de 1859340:
-
Algoritmos de autenticación y cifrado utilizados
-
Vida
-
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
-
Información de funciones
La solución de problemas se realiza mejor en el par que usa la función de responder.
-
Información del iniciador y del respondedor
-
Número de SA de IPsec creadas
-
Número de negociaciones en curso
Verificar el estado de IPsec
Propósito
Compruebe el estado de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 912f9063 3403/ unlim - root 500 172.16.23.1 >131074 ESP:3des/sha1 71dbaa56 3403/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 131074 detail
ID: 131074 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 500, Nego#: 26, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 23 2021 10:46:34 -0700: IPSec SA negotiation successfully completed (23 times)
Fri Jul 23 2021 09:07:24 -0700: IKE SA negotiation successfully completed (3 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 16:33:50 -0700: Tunnel configuration changed. Corresponding IKE/IPSec SAs are deleted (1 times)
Thu Jul 22 2021 16:23:49 -0700: IPSec SA negotiation successfully completed (2 times)
Thu Jul 22 2021 15:34:12
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Thu Jul 22 2021 15:33:25 -0700: IPSec SA negotiation successfully completed (1 times)
Thu Jul 22 2021 15:33:25
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Thu Jul 22 2021 15:33:25 -0700: External interface's address received. Information updated (1 times)
Thu Jul 22 2021 15:33:25 -0700: Bind-interface's zone received. Information updated (1 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: 912f9063, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3302 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2729 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 71dbaa56, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3302 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2729 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
-
El número de ID es 131074. Use este valor con el
show security ipsec security-associations indexcomando para obtener más información sobre esta SA en particular. -
Hay un par DE SA IPsec que usa el puerto 500, lo que indica que no se implementa ningún recorrido TDR. (El recorrido TDR usa el puerto 4500 u otro puerto aleatorio de número alto.)
-
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 3403/ unlim indica que la vida útil caduca en 3403 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La vida útil puede diferir de la vida útil, ya que IPsec no depende de IKE después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está desactivada.
-
El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.
El resultado del show security ipsec security-associations index 131074 detail comando enumera la siguiente información:
-
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una de las causas más comunes de una falla de IPsec es una de las causas más comunes de una falla de IPsec. Si no se muestra ninguna SA de IPsec, confirme que las propuestas de IPsec, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores externos, el ID de proxy se debe ingresar manualmente para que coincida.
-
Otra razón común de la falla de IPsec es no especificar el enlace de interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca las opciones de seguimiento.
Probar el flujo de tráfico a través de la VPN
Propósito
Verifique el flujo de tráfico a través de la VPN.
Acción
Utilice el ping comando desde el dispositivo Host1 para probar el flujo de tráfico a Host2.
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.146/3.824/6.193/0.402 ms
Significado
Si el ping comando falla desde Host1, podría haber un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y descifrado de paquetes ESP.
Revisar estadísticas y errores para una asociación de seguridad IPsec
Propósito
Revise los contadores de encabezados y errores esp y de autenticación para una asociación de seguridad IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec statistics index index_number comando, usando el número de índice de la VPN para la que desea ver estadísticas.
user@SRX1> show security ipsec statistics index 131074 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
También puede usar el show security ipsec statistics comando para revisar estadísticas y errores de todas las SA.
Para borrar todas las estadísticas de IPsec, utilice el clear security ipsec statistics comando.
Significado
Si ve problemas de pérdida de paquetes en una VPN, ejecute el show security ipsec statistics comando or show security ipsec statistics detail varias veces para confirmar si los contadores de paquetes cifrados y descifrados se están incrementando. Busque en la salida del comando cualquier contador de errores de incremento.