Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Selectores de tráfico en VPN basadas en rutas

Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel VPN si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se ajusta a un selector de tráfico mediante la asociación de seguridad asociada (SA).

Descripción de los selectores de tráfico en VPN basadas en rutas

Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel si el tráfico coincide con un par especificado de direcciones locales y remotas. Con esta función, puede definir un selector de tráfico dentro de una VPN específica basada en rutas, lo que puede dar como resultado varias asociaciones de seguridad IPsec de fase 2 (SA). Solo se permite el tráfico que se ajuste a un selector de tráfico a través de la SA asociada.

A partir de Junos OS versión 12.1X46-D10 y Junos OS versión 17.3R1, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv1. A partir de Junos OS versión 15.1X49-D100, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv2.

Configuración del selector de tráfico

Para configurar un selector de tráfico, use la traffic-selector instrucción de configuración en el nivel de jerarquía [edit security ipsec vpn vpn-name]. El selector de tráfico se define con el obligatorio local-ip ip-address/netmask y remote-ip ip-address/netmask las instrucciones. El comando operativo de show security ipsec security-association detail la CLI muestra información del selector de tráfico para SA. El show security ipsec security-association traffic-selector traffic-selector-name comando de CLI muestra información para un selector de tráfico especificado.

Para un selector de tráfico determinado, se especifica una sola dirección y máscara de red para las direcciones local y remota. Los selectores de tráfico se pueden configurar con direcciones IPv4 o IPv6. Las libretas de direcciones no se pueden usar para especificar direcciones locales o remotas.

Se pueden configurar varios selectores de tráfico para la misma VPN. Se puede configurar un máximo de 200 selectores de tráfico para cada VPN. Los selectores de tráfico se pueden utilizar con los modos de túnel IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 o IPv6-in-IPv4.

Las siguientes funciones no son compatibles con los selectores de tráfico:

  • Supervisión de VPN

  • Diferentes familias de direcciones configuradas para las direcciones IP locales y remotas en un selector de tráfico

  • Una dirección remota de 0.0.0.0/0 (IPv4) o 0::0 (IPv6) para VPN de sitio a sitio

    A partir de Junos OS versión 15.1X49-D140, en todos los dispositivos serie SRX e instancias vSRX, cuando configure el selector de tráfico con una dirección remota de 0::0 (IPv6), se muestra el siguiente “error: configuration check-out failed” mensaje cuando se realiza la confirmación y se produce un error en la desprotección de la configuración.

  • Interfaces punto a multipunto

  • Protocolos de enrutamiento dinámico configurados en interfaces st0

Cuando hay varios selectores de tráfico configurados para una VPN basada en rutas, el tráfico despejado puede entrar en un túnel VPN sin coincidir con un selector de tráfico si la interfaz externa de puerta de enlace IKE se mueve a otro enrutador virtual (VR). El software no controla los múltiples eventos de interfaz asíncrono generados cuando una interfaz externa de puerta de enlace IKE se mueve a otra VR. Como solución alternativa, primero desactive el túnel VPN IPsec y confirme la configuración sin ese túnel antes de mover la interfaz externa de puerta de enlace IKE a otra VR.

Descripción de la inserción automática de rutas

La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y los hosts protegidos por un punto de conexión de túnel remoto. Se crea una ruta basada en la dirección IP remota configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota configurada se inserta como una ruta en la instancia de enrutamiento asociada con la interfaz st0 que está enlazada a la VPN.

Los protocolos de enrutamiento y la configuración del selector de tráfico son formas mutuamente exclusivas de dirigir el tráfico a un túnel. Las rutas ARI pueden estar en conflicto con rutas que se llenan mediante protocolos de enrutamiento. Por lo tanto, no debe configurar protocolos de enrutamiento en una interfaz st0 enlazada a una VPN en la que se configuran los selectores de tráfico.

Ari también se conoce como inserción de ruta inversa (RRI). Las rutas ARI se insertan en la tabla de enrutamiento de la siguiente manera:

  • Si la establish-tunnels immediately opción está configurada en el nivel de jerarquía [edit security ipsec vpn vpn-name], las rutas ARI se agregan después de que se hayan completado las negociaciones de fase 1 y fase 2. Dado que una ruta no se agrega hasta que se establecen las SA, una negociación con errores no da como resultado que el tráfico se enrute a una interfaz st0 que está abajo. En su lugar, se utiliza un túnel alternativo o de respaldo.

  • Si la establish-tunnels immediately opción no está configurada en el nivel de jerarquía [edit security ipsec vpn vpn-name], las rutas ARI se agregan en la confirmación de configuración.

  • No se agrega una ruta ARI si la dirección remota configurada o negociada en un selector de tráfico es 0.0.0.0/0 o 0::0.

La preferencia por la ruta ARI estática es 5. Este valor es necesario para evitar conflictos con rutas similares que se pueden agregar mediante un proceso de protocolo de enrutamiento. No hay ninguna configuración de la métrica para la ruta ARI estática.

La ruta ARI estática no se puede filtrar a otras instancias de enrutamiento mediante la rib-groups configuración. Utilice la import-policy configuración para filtrar rutas ARI estáticas.

Descripción de selectores de tráfico y direcciones IP superpuestas

En esta sección se analizan las direcciones IP superpuestas en las configuraciones del selector de tráfico.

Direcciones IP superpuestas en distintas VPN enlazadas a la misma interfaz st0

Este escenario no se admite con selectores de tráfico. Los selectores de tráfico no se pueden configurar en distintas VPN enlazadas a la misma interfaz st0 de punto a multipunto, como se muestra en el ejemplo siguiente:

Direcciones IP superpuestas en la misma VPN enlazada a la misma interfaz st0

Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en la misma VPN, el primer selector de tráfico configurado que coincide con el paquete determina el túnel utilizado para el cifrado de paquetes.

En el ejemplo siguiente, se configuran cuatro selectores de tráfico (ts-1, ts-2, ts-3 y ts-4) para la VPN (vpn-1), que está enlazada a la interfaz st0.1 punto a punto:

Un paquete con una dirección de origen 192.168.5.5 y una dirección de destino 10.1.5.10 coincide con los selectores de tráfico ts-1 y ts-2. Sin embargo, el selector de tráfico ts-1 es la primera coincidencia configurada y el túnel asociado con ts-1 se utiliza para el cifrado de paquetes.

Un paquete con una dirección de origen 172.16.5.5 y una dirección de destino 10.2.5.10 coincide con los selectores de tráfico ts-3 y ts-4. Sin embargo, el selector de tráfico ts-3 es la primera coincidencia configurada y el túnel asociado con el selector de tráfico ts-3 se utiliza para el cifrado de paquetes.

Direcciones IP superpuestas en distintas VPN enlazadas a interfaces st0 diferentes

Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en distintas VPN que están enlazadas a diferentes interfaces st0 punto a punto, primero se selecciona una interfaz st0 mediante la coincidencia de prefijo más larga para un paquete determinado. Dentro de la VPN que está enlazada a la interfaz st0 seleccionada, el selector de tráfico se selecciona según la primera coincidencia configurada para el paquete.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con la misma subred local, pero con subredes remotas diferentes.

En cada selector de tráfico se configuran diferentes subredes remotas, por lo que se agregan dos rutas diferentes a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada a la VPN adecuada.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con diferentes subredes remotas. La misma subred local está configurada para cada selector de tráfico, pero se especifican distintos valores de máscara de red.

En cada selector de tráfico se configura una subred remota diferente, por lo que se agregan dos rutas diferentes a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada a la VPN adecuada.

En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los selectores de tráfico se configuran con diferentes subredes locales y remotas.

En este caso, los selectores de tráfico no se superponen. Las subredes remotas configuradas en los selectores de tráfico son diferentes, por lo que se agregan dos rutas diferentes a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada a la VPN adecuada.

En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores de tráfico se configuran con la misma subred local. La misma subred remota está configurada para cada selector de tráfico, pero se especifican distintos valores de máscara de red.

Observe que el remote-ip configurado para ts-1 es 10.1.1.0/24, mientras que el remote-ip configurado para ts-2 es 10.1.0.0/16. Para un paquete destinado a 10.1.1.1, la búsqueda de ruta selecciona la interfaz st0.1, ya que tiene la coincidencia de prefijo más larga. El paquete se cifra según el túnel correspondiente a la interfaz st0.1.

En algunos casos, los paquetes válidos se pueden descartar debido a la aplicación del selector de tráfico. En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los selectores de tráfico se configuran con diferentes subredes locales. La misma subred remota está configurada para cada selector de tráfico, pero se especifican distintos valores de máscara de red.

Se agregan dos rutas a 10.1.1.0 (10.1.1.0/24 mediante la interfaz st0.1 y 10.1.0.0/16 mediante la interfaz st0.2) a la tabla de enrutamiento. Un paquete enviado del origen 172.16.1.1 al destino 10.1.1.1 coincide con la entrada de la tabla de enrutamiento para 10.1.1.0/24 mediante la interfaz st0.1. Sin embargo, el paquete no coincide con el tráfico especificado por el selector de tráfico ts-1 y se cae.

Si se configuran varios selectores de tráfico con la misma subred remota y máscara de red, se agregan rutas de igual costo a la tabla de enrutamiento. Este caso no se admite con selectores de tráfico, ya que no se puede predecir la ruta elegida.

Ejemplo: Configuración de selectores de tráfico en una VPN basada en rutas

En este ejemplo, se muestra cómo configurar selectores de tráfico para una VPN basada en rutas.

Descripción general

En este ejemplo, se configuran selectores de tráfico para permitir que el tráfico fluya entre subredes en SRX_A y subredes en SRX_B.

Tabla 1 muestra los selectores de tráfico de este ejemplo. Los selectores de tráfico se configuran en las opciones de fase 2.

Tabla 1: Configuraciones del selector de tráfico

SRX_A

SRX_B

Nombre del selector de tráfico

Local IP

IP remota

Nombre del selector de tráfico

Local IP

IP remota

TS1-ipv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-ipv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

El procesamiento basado en flujo del tráfico IPv6 se debe habilitar con la mode flow-based opción de configuración en el nivel de jerarquía [edit security forwarding-options family inet6].

Topología

En Figura 1, un túnel VPN IPv6 lleva tráfico IPv4 e IPv6 entre los dispositivos SRX_A y SRX_B. Es decir, el túnel funciona en los modos de túnel IPv4-in-IPv6 e IPv6-in-IPv6.

Figura 1: Ejemplo de configuración del selector de tráficoEjemplo de configuración del selector de tráfico

Configuración

Configuración de SRX_A

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar selectores de tráfico:

  1. Configure la interfaz externa.

  2. Configure la interfaz de túnel segura.

  3. Configure la interfaz interna.

  4. Configure las opciones de fase 1.

  5. Configure las opciones de fase 2.

  6. Habilite el reenvío basado en flujo IPv6.

  7. Configure las zonas de seguridad y la política de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show security ike, show security ipsec, show security forwarding-options, show security zonesy show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de SRX_B

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de cli.

Para configurar selectores de tráfico:

  1. Configure la interfaz externa.

  2. Configure la interfaz de túnel segura.

  3. Configure las interfaces internas.

  4. Configure las opciones de fase 1.

  5. Configure las opciones de fase 2.

  6. Habilite el reenvío basado en flujo IPv6.

  7. Configure las zonas de seguridad y la política de seguridad.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show security ike, show security ipsec, show security forwarding-options, show security zonesy show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Los resultados de ejemplo mostrados se muestran en SRX-A.

Verificar el estado de la fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando.

Desde el modo operativo, ingrese el show security ipsec security-associations detail comando.

Significado

El show security ipsec security-associations comando enumera todas las SA de fase 2 de IKE activas. Si no se enumera ninguna SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política de IKE y la configuración de interfaz externa en su configuración. Los parámetros de propuesta de fase 2 deben coincidir en los dispositivos par.

Verificar selectores de tráfico

Propósito

Verifique los selectores de tráfico negociados en la interfaz de túnel seguro.

Acción

Desde el modo operativo, ingrese el show security ipsec traffic-selector st0.1 comando.

Verificar rutas

Propósito

Verificar rutas activas

Acción

Desde el modo operativo, ingrese el show route comando.

Significado

El show route comando enumera las entradas activas en las tablas de enrutamiento. Las rutas a la dirección IP remota configurada en cada selector de tráfico deben estar presentes con la interfaz st0 correcta.

Tabla de historial de versiones
Liberación
Descripción
15.1X49-D140
A partir de Junos OS versión 15.1X49-D140, en todos los dispositivos serie SRX e instancias vSRX, cuando configure el selector de tráfico con una dirección remota de 0::0 (IPv6), se muestra el siguiente “error: configuration check-out failed” mensaje cuando se realiza la confirmación y se produce un error en la desprotección de la configuración.
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv2.
12.1X46-D10
A partir de Junos OS versión 12.1X46-D10 y Junos OS versión 17.3R1, los selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv1.