Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Selectores de tráfico en VPN basadas en rutas

Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel VPN si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajusta a un selector de tráfico a través de la Asociación de seguridad (SA) asociada.

Descripción de los selectores de tráfico en VPN basadas en rutas

Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Con esta característica, puede definir un selector de tráfico dentro de una VPN basada en ruta específica, lo que puede producir varias asociaciones de seguridad (SA) de IPsec de fase 2. Solo se permite el tráfico que se ajusta a un selector de tráfico a través de la SA asociada.

A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, los selectores de tráfico se pueden configurar con VPN de sitio a sitio de IKEv1. A partir de Junos OS Release 15.1 X49-D100, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv2.

Configuración del selector de tráfico

Para configurar el selector de tráfico, utilice traffic-selector la instrucción de configuración enedit security ipsec vpn vpn-nameel nivel de jerarquía []. El selector de tráfico se define con las local-ip ip-address/netmask instrucciones remote-ip ip-address/netmask y obligatorias. El comando show security ipsec security-association detail operativo CLI muestra información del selector de tráfico para SAS. El show security ipsec security-association traffic-selector traffic-selector-name comando CLI muestra información de un determinado selector de tráfico.

Para un determinado selector de tráfico, se especifica una sola dirección y máscara de la m á scara para las direcciones locales y remotas. Los selectores de tráfico se pueden configurar con direcciones IPv4 o IPv6. Las libretas de direcciones no se pueden utilizar para especificar direcciones locales o remotas.

Se pueden configurar varios selectores de tráfico para la misma VPN. Se pueden configurar un máximo de 200 selectores de tráfico para cada VPN. Los selectores de tráfico se pueden usar con los modos IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 o IPv6-in-IPv4.

Las características siguientes no se admiten con los selectores de tráfico:

  • Supervisión de VPN

  • Diferentes familias de direcciones configuradas para las direcciones IP locales y remotas en un selector de tráfico

  • Una dirección remota de 0.0.0.0/0 (IPv4) o 0::0 (IPv6) para VPN de sitio a sitio

    A partir de Junos OS versión 15.1X49-D140, en todos los dispositivos serie SRX y las instancias vSRX, cuando configure el selector de tráfico con una dirección remota de 0:0 (IPv6), el siguiente mensaje se muestra cuando se realiza la confirmación y se produce un error “error: configuration check-out failed” en la desprotección de la configuración.

  • Interfaces punto a multipunto

  • Protocolos de enrutamiento dinámico configurados en interfaces st0

Cuando hay varios selectores de tráfico configurados para una VPN basada en rutas, el tráfico claro puede entrar en un túnel VPN sin tener que coincidir con un selector de tráfico si la interfaz externa de ICR puerta de enlace se mueve a otro enrutador virtual (VR). El software no controla varios eventos de interfaz asincrónica que se generan cuando una ICR interfaz externa de puerta de enlace se mueve a otro VR. Como solución, primero debe desactivar el túnel VPN de IPsec y ejecutar la configuración sin ese túnel antes de trasladar la interfaz externa de puerta de enlace de ICR a otro virtual virtual.

Descripción de la inserción automática de rutas

La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y los hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota configurada se inserta como ruta en la instancia de enrutamiento asociada con la interfaz st0 que está enlazada a la VPN.

Los protocolos de enrutamiento y la configuración del selector de tráfico son maneras mutuamente excluyentes del tráfico de dirección hacia un túnel. Las rutas ARI pueden entrar en conflicto con rutas que se rellenan a través de protocolos de enrutamiento. Por lo tanto, no debe configurar protocolos de enrutamiento en una interfaz st0 que esté enlazada a una VPN en la que estén configurados los selectores de tráfico.

ARI se conoce también como inserción de ruta inversa (RRI). Las rutas ARI se insertan en la tabla de enrutamiento de la siguiente manera:

  • Si la establish-tunnels immediately opción se configura en el niveledit security ipsec vpn vpn-namede jerarquía [], las rutas Ari se agregarán después de completar las negociaciones de las fases 1 y 2. Dado que no se agrega una ruta hasta que se establecen las SA, una negociación fallida no provoca el enrutamiento del tráfico a una interfaz st0 que no funciona. En su lugar se utiliza un túnel alternativo o de copia de seguridad.

  • Si la establish-tunnels immediately opción no está configurada enedit security ipsec vpn vpn-nameel nivel de jerarquía [], las rutas Ari se agregan durante la confirmación de configuración.

  • No se añade una ruta ARI si la dirección remota configurada o negociada en el selector de tráfico es 0.0.0.0/0 o 0::0.

La preferencia de la ruta ARI estática es la 5. Este valor es necesario para evitar conflictos con rutas similares que puede Agregar un proceso de protocolo de enrutamiento. No hay configuración de la métrica para la ruta ARI estática.

La ruta ARI estática no puede filtrarse por otras instancias de enrutamiento que rib-groups usan la configuración. Utilice la import-policy configuración para filtrar las rutas Ari estáticas.

Descripción de los selectores de tráfico y las direcciones IP superpuestas

En esta sección se explican las direcciones IP superpuestas en las configuraciones de los selectores de tráfico.

Direcciones IP superpuestas en distintas VPN enlazadas a la misma interfaz st0

Los selectores de tráfico no admiten este escenario. Los selectores de tráfico no se pueden configurar en distintas VPN que se enlazan con la misma interfaz st0 punto a multipunto, como se muestra en el siguiente ejemplo:

Direcciones IP superpuestas en la misma VPN enlazada a la misma interfaz st0

Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en la misma VPN, el primer selector de tráfico configurado que coincide con el paquete determina el túnel utilizado para el cifrado de paquetes.

En el ejemplo siguiente, se configuran cuatro selectores de tráfico (TS-1, TS-2, TS-3 y TS-4) para VPN (VPN-1), que está enlazado a la interfaz punto a punto St 0.1:

Un paquete con una dirección de origen 192.168.5.5 y una dirección 10.1.5.10 de destino coincide con los selectores de tráfico TS-1 y TS-2. Sin embargo, el selector de tráfico TS-1 es la primera coincidencia configurada y el túnel asociado con TS-1 se utiliza para el cifrado de paquetes.

Un paquete con una dirección de origen 172.16.5.5 y una dirección de destino 10.2.5.10 coincide con los selectores de tráfico TS-3 y TS-4. Sin embargo, el selector de tráfico TS-3 es la primera coincidencia configurada y el túnel asociado con el selector de tráfico TS-3 se utiliza para el cifrado de paquetes.

Direcciones IP superpuestas en distintas VPN enlazadas a diferentes interfaces st0

Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en VPN diferentes enlazados a interfaces st0 punto a punto diferentes, una interfaz st0 se selecciona en primer lugar por la coincidencia de prefijo más larga para un paquete dado. Dentro de la VPN que está enlazada a la interfaz st0 seleccionada, se selecciona el selector de tráfico en función de la primera coincidencia configurada para el paquete.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con la misma subred local pero con las distintas redes remotas.

En cada selector de tráfico se configuran distintas redes remotas, por lo que se agregan dos rutas distintas a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN correspondiente.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con distintas redes remotas. Se configura la misma subred local para cada selector de tráfico, pero se especifican distintos valores de máscara de red.

En cada selector de tráfico se configura una subred remota diferente, por lo que se agregan dos rutas distintas a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN correspondiente.

En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los selectores de tráfico se configuran con distintas redes remotas y locales.

En este caso, los selectores de tráfico no se superponen. Las subredes remotas configuradas en los selectores de tráfico son distintas, por lo que dos rutas distintas se agregan a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN correspondiente.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con la misma subred local. Se ha configurado la misma subred remota para cada selector de tráfico, pero se han especificado distintos valores de máscara de red.

Tenga en cuenta remote-ip que la configuración de TS-1 es 10.1.1.0/24 remote-ip mientras que la configurada para TS-2 es 10.1.0.0/16. Para un paquete destinado a 10.1.1.1, la búsqueda de ruta selecciona la interfaz St 0.1, ya que tiene la coincidencia de prefijo más larga. El paquete se cifra basándose en el túnel correspondiente a la interfaz St 0.1.

En algunos casos, es posible eliminar paquetes válidos debido a la aplicación del tráfico del selector de tráfico. En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los selectores de tráfico se configuran con distintas subredes locales. Se ha configurado la misma subred remota para cada selector de tráfico, pero se han especificado distintos valores de máscara de red.

En la tabla de enrutamiento se añaden dos rutas a 10.1.1.0 (10.1.1.0/24 a través de interface St 0.1 e 10.1.0.0/16 Via interface St 0,2). Un paquete enviado desde el origen 172.16.1.1 al destino 10.1.1.1 coincide con la entrada de la tabla de enrutamiento para 10.1.1.0/24 a través de la interfaz St 0.1. Sin embargo, el paquete no coincide con el tráfico especificado por el selector de tráfico TS-1 y se descarta.

Si hay varios selectores de tráfico configurados con la misma subred remota y máscara de red, las rutas de costo igual se agregan a la tabla de enrutamiento. Este caso no es compatible con los selectores de tráfico, ya que no se puede predecir la ruta elegida.

Ejemplo Configuración de selectores de tráfico en una VPN basada en rutas

En este ejemplo se muestra cómo configurar los selectores de tráfico para una VPN basada en una ruta.

Aplicables

Descripción general

En este ejemplo se configuran los selectores de tráfico para permitir que el tráfico fluya entre subredes en SRX_A y en las subredes de SRX_B.

Tabla 1muestra los selectores de tráfico de este ejemplo. Los selectores de tráfico se configuran en las opciones de fase 2.

Tabla 1: Configuraciones del selector de tráfico

SRX_A

SRX_B

Nombre del selector de tráfico

IP local

IP remota

Nombre del selector de tráfico

IP local

IP remota

TS1-ipv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-ipv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

El procesamiento basado en flujos del tráfico IPv6 debe estar habilitado mode flow-based con la opción de configuraciónedit security forwarding-options family inet6en el nivel de jerarquía [].

Topología

En Figura 1, un túnel VPN de IPv6 lleva tanto el tráfico IPv4 como IPv6 entre los dispositivos SRX_A y SRX_B. Es decir, el túnel funciona en los modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6.

Figura 1: Ejemplo de configuración del selector de tráficoEjemplo de configuración del selector de tráfico

Automática

Configurar SRX_A

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar los selectores de tráfico:

  1. Configure la interfaz externa.

  2. Configure la interfaz de túnel seguro.

  3. Configure la interfaz interna.

  4. Configure las opciones de fase 1.

  5. Configure las opciones de fase 2.

  6. Habilite el reenvío basado en flujos IPv6.

  7. Configurar zonas de seguridad y la Directiva de seguridad.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security ikeescriba show security ipseclos show security forwarding-optionscomandos show security zones,, show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar SRX_B

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar los selectores de tráfico:

  1. Configure la interfaz externa.

  2. Configure la interfaz de túnel seguro.

  3. Configure las interfaces internas.

  4. Configure las opciones de fase 1.

  5. Configure las opciones de fase 2.

  6. Habilite el reenvío basado en flujos IPv6.

  7. Configurar zonas de seguridad y la Directiva de seguridad.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security ikeescriba show security ipseclos show security forwarding-optionscomandos show security zones,, show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Los resultados de ejemplo que se muestran se encuentran en los SRX-A.

Comprobando el estado de la fase 2 de IPsec

Purpose

Compruebe el estado de la fase 2 de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando.

En modo operativo, escriba el show security ipsec security-associations detail comando.

Efectos

El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de propuesta de la fase 2 deben coincidir en los dispositivos del mismo nivel.

Comprobación de los selectores de tráfico

Purpose

Compruebe los selectores de tráfico negociados en la interfaz de túnel seguro.

Intervención

En modo operativo, escriba el show security ipsec traffic-selector st0.1 comando.

Comprobando rutas

Purpose

Comprobar las rutas activas

Intervención

En modo operativo, escriba el show route comando.

Efectos

El show route comando enumera las entradas activas en las tablas de enrutamiento. Las rutas a la dirección IP remota configurada en cada selector de tráfico deben estar presentes con la interfaz st0 correcta.

Tabla de historial de versiones
Liberación
Descripción
15.1X49-D140
A partir de Junos OS versión 15.1X49-D140, en todos los dispositivos serie SRX y las instancias vSRX, cuando configure el selector de tráfico con una dirección remota de 0:0 (IPv6), el siguiente mensaje se muestra cuando se realiza la confirmación y se produce un error “error: configuration check-out failed” en la desprotección de la configuración.
15.1X49-D100
A partir de Junos OS Release 15.1 X49-D100, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv2.
12.1X46-D10
A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, los selectores de tráfico se pueden configurar con VPN de sitio a sitio de IKEv1.