Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN basada en rutas con IKEv2

El intercambio de claves por internet versión 2 (IKEv2) es un protocolo de tunelización basado en IPsec que proporciona un canal de comunicación VPN seguro entre dispositivos VPN pares y define la negociación y la autenticación para asociaciones de seguridad (SA) de IPsec de manera protegida.

Tabla 1 describe los valores IPsec Radius xAuth o CP.

Tabla 1: Valores IPsec Radius xAuth o CP
Atributo Radius ID de atributo Nombre de atributo ID de proveedor (diccionario) ID de atributo de proveedor Valor de atributo Tipo
Estándar 8 Dirección IP enmarcada NA NA Dirección IP Dirección IPv4
Estándar 88 Grupo enmarcado NA NA Nombre Texto
Estándar 100 Grupo IPv6 enmarcado NA NA Nombre Texto
Proveedor 26 DNS principal 4874 (Juniper ERX) 4 Dirección IP Dirección IPv4
Proveedor 26 DNS secundario 4874 (Juniper ERX) 5 Dirección IP Dirección IPv4
Proveedor 26 VICTORIAS principales (NBNS) 4874 (Juniper ERX) 6 Dirección IP Dirección IPv4
Proveedor 26 WINS secundarios (NBNS) 4874 (Juniper ERX) 7 Dirección IP Dirección IPv4
Proveedor 26 DNS principal IPv6 4874 (Juniper ERX) 47 Dirección IP hex-string o octetos
Proveedor 26 DNS secundario IPv6 4874 (Juniper ERX) 48 Dirección IP hex-string o octetos

Ejemplo: Configurar una VPN basada en rutas para IKEv2

En este ejemplo, se muestra cómo configurar una VPN IPsec basada en rutas para permitir que los datos se transfieran de forma segura entre una sucursal y una oficina corporativa.

Requisitos

En este ejemplo, se utiliza el siguiente hardware:

  • Dispositivo SRX240

  • Dispositivo SSG140

Antes de empezar, lea Descripción general de IPsec.

Descripción general

En este ejemplo, configura una VPN basada en rutas para una sucursal en Chicago, Illinois, ya que desea conservar los recursos de túnel, pero aún así obtener restricciones granulares en el tráfico de VPN. Los usuarios en la oficina de Chicago usarán la VPN para conectarse a sus sedes corporativas en Sunnyvale, California.

En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4, zonas de seguridad y libretas de direcciones. A continuación, configure la fase 1 de ICR, la fase 2 de IPsec, una política de seguridad y los parámetros TCP-MSS. Consulte Tabla 2 a través Tabla 6 para ver los parámetros de configuración específicos utilizados en este ejemplo.

Tabla 2: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones

Característica

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (interfaz de túnel)

10.11.11.10/24

Rutas estáticas

0.0.0.0/0 (ruta predeterminada)

El siguiente salto es 10.1.1.1.

192.168.168.0/24

El siguiente salto es st0.0.

Zonas de seguridad

confianza

  • Se permiten todos los servicios del sistema.

  • La interfaz ge-0/0/0.0 está vinculada a esta zona.

Untrust

  • IKE es el único servicio de sistema permitido.

  • La interfaz ge-0/0/3.0 está vinculada a esta zona.

vpn-chicago

La interfaz st0.0 está vinculada a esta zona.

Entradas de la libreta de direcciones

Sunnyvale

  • Esta dirección es para la libreta de direcciones de la zona de confianza.

  • La dirección para esta entrada de la libreta de direcciones es 192.168.10.0/24.

Chicago

  • Esta dirección es para la libreta de direcciones de la zona de no confianza.

  • La dirección para esta entrada del libro de direcciones es 192.168.168.0/24.

Tabla 3: Parámetros de configuración de fase 1 de ICR

Característica

Nombre

Parámetros de configuración

Propuesta

propuesta de fase ike1

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: grupo2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: aes-128-cbc

Política

Política de ike-phase1

  • Modo: Principal

  • Referencia de la propuesta: propuesta de fase ike1

  • Método de autenticación de política de fase 1 de ICR: texto ASCII de clave precompartida

Gateway

gw-chicago

  • Referencia de política de ICR: Política de ike-phase1

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.2.2.2

Tabla 4: Parámetros de configuración de fase 2 de IPsec

Característica

Nombre

Parámetros de configuración

Propuesta

ipsec-phase2-proposal

  • Protocolo: Esp

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: aes-128-cbc

Política

ipsec-phase2-policy

  • Referencia de la propuesta: ipsec-phase2-proposal

  • PFS: Grupo Diffie-Hellman2

VPN

ipsec-vpn-chicago

  • Referencia de puerta de enlace de ICR: gw-chicago

  • Referencia de política IPsec: ipsec-phase2-policy

  • Enlazar a interfaz: st0.0

Tabla 5: Parámetros de configuración de la política de seguridad

Propósito

Nombre

Parámetros de configuración

La política de seguridad permite el tráfico desde la zona de confianza hasta la zona vpn-chicago.

vpn-tr-chi

  • Criterios de coincidencia:

    • dirección fuente sunnyvale

    • dirección de destino chicago

    • aplicación cualquiera

  • Acción: Permiso

La política de seguridad permite el tráfico desde la zona vpn-chicago hasta la zona de confianza.

vpn-chi-tr

  • Criterios de coincidencia:

    • dirección fuente chicago

    • dirección de destino sunnyvale

    • aplicación cualquiera

  • Acción: Permiso

Tabla 6: Parámetros de configuración TCP-MSS

Propósito

Parámetros de configuración

TCP-MSS se negocia como parte de la negociación de tres vías TCP y limita el tamaño máximo de un segmento TCP para adaptarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que causa fragmentación. La fragmentación aumenta el ancho de banda y los recursos del dispositivo.

Recomendamos un valor de 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con diferentes valores TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que deba cambiar el valor si algún dispositivo de la ruta tiene una MTU menor o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor de MSS: 1350

Configuración

Configuración de la interfaz, la ruta estática, la zona de seguridad y la libreta de direcciones

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la información de interfaz, ruta estática, zona de seguridad y libreta de direcciones:

  1. Configure la información de interfaz Ethernet.

  2. Configure la información de ruta estática.

  3. Configure la zona de seguridad de no confianza.

  4. Asigne una interfaz a la zona de seguridad.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad de confianza.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.

  9. Configure la entrada de la libreta de direcciones para la zona de seguridad de confianza.

  10. Configure la zona de seguridad vpn-chicago.

  11. Asigne una interfaz a la zona de seguridad.

  12. Configure la entrada de la libreta de direcciones para la zona VPN-chicago.

Resultados

Desde el modo de configuración, ingrese los comandos , show routing-optionsy show security zones para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de ICR

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta de fase 1 de ICR.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Defina el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de propuesta de ICR.

  6. Cree una política de fase 1 de ICR.

  7. Especifique una referencia a la propuesta de ICR.

  8. Defina el método de autenticación de política de fase 1 de ICR.

  9. Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.

  10. Defina la referencia de política de fase 1 de ICR.

  11. Defina la dirección de puerta de enlace de fase 1 de ICR.

  12. Defina la versión de puerta de enlace de fase 1 de ICR.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta de fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Cree la política de fase 2 de IPsec.

  6. Especifique la referencia de la propuesta de fase 2 de IPsec.

  7. Especifique PFS de fase 2 de IPsec para usar el grupo Diffie-Hellman 2.

  8. Especifique la puerta de enlace de ICR.

  9. Especifique la política de fase 2 de IPsec.

  10. Especifique la interfaz que se desea enlazar.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar políticas de seguridad:

  1. Cree la política de seguridad para permitir el tráfico desde la zona de confianza hasta la zona vpn-chicago.

  2. Cree la política de seguridad para permitir el tráfico desde la zona vpn-chicago hasta la zona de confianza.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la información de TCP-MSS:

  1. Configure la información de TCP-MSS.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del dispositivo de la serie SSG

Configuración rápida de CLI

Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más información acerca de cómo configurar dispositivos de la serie SSG, consulte , Concepts & Examples ScreenOS Reference Guideque se encuentra en https://www.juniper.net/documentation.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de fase 1 de ICR

Propósito

Verifique el estado de fase 1 de ICR.

Acción

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a un host en la red 192.168.168/24. En el caso de vpn basadas en rutas, el firewall de la serie SRX puede iniciar tráfico a través del túnel. Recomendamos que, al probar túneles IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un lado de la VPN a un segundo dispositivo al otro lado de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.

Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.

Si se enumeran las SA, revise la siguiente información:

  • Índice: este valor es único para cada SA IKE, que puede utilizar en el show security ike security-associations index detail comando para obtener más información sobre la SA.

  • Dirección remota: compruebe que la dirección IP remota sea correcta.

  • Estado

    • UP: se estableció la SA de fase 1.

    • ABAJO: hubo un problema al establecer la SA de fase 1.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que recibe paquetes IKE).

  • Parámetros de política de ICR.

  • Información de claves previamente compartidas.

  • Parámetros de propuesta de fase 1 (deben coincidir en ambos pares).

El show security ike security-associations index 1 detail comando enumera información adicional sobre la SA con un número de índice de 1:

  • Algoritmos de autenticación y cifrado utilizados

  • Vida útil de la fase 1

  • Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el par que usa la función de responder.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

Verificar el estado de fase 2 de IPsec

Propósito

Verifique el estado de fase 2 de IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.

Significado

El resultado del show security ipsec security-associations comando enumera la siguiente información:

  • El número de identificación es 16384. Use este valor con el show security ipsec security-associations index comando para obtener más información sobre esta SA en particular.

  • Hay un par SA IPsec que usa el puerto 500.

  • Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 3363/ unlim indica que la vida útil de la fase 2 caduca en 3363 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • El vsys es el sistema raíz, y siempre se enumera como 0.

  • El IKEv2 permite conexiones desde un par de versión 2 e iniciará una negociación de la versión 2.

El resultado del show security ipsec security-associations index 16384 detail comando enumera la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una de las causas más comunes de una falla de fase 2 es una discordancia del ID de proxy. Si no se muestra ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores externos, el ID de proxy se debe ingresar manualmente para que coincida.

  • Otra razón común para el error de fase 2 es no especificar el enlace de interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca las opciones de seguimiento.

Revisión de estadísticas y errores para una asociación de seguridad IPsec

Propósito

Revise los contadores y errores de esp y encabezados de autenticación para una SA IPsec.

Acción

Desde el modo operativo, ingrese el show security ipsec statistics index index_number comando, usando el número de índice de la VPN para la que desea ver estadísticas.

También puede usar el show security ipsec statistics comando para revisar estadísticas y errores de todas las SA.

Para borrar todas las estadísticas de IPsec, utilice el clear security ipsec statistics comando.

Significado

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando o show security ipsec statistics detail varias veces para confirmar que los contadores de paquetes cifrados y descifrados se están incrementando. También debe comprobar que los otros contadores de errores se están incrementando.

Prueba del flujo de tráfico a través de la VPN

Propósito

Verifique el flujo de tráfico a través de la VPN.

Acción

Puede usar el ping comando del firewall serie SRX para probar el flujo de tráfico a una PC de host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de políticas.

Desde el modo operativo, ingrese el ping comando.

También puede usar el ping comando desde el dispositivo serie SSG.

Significado

Si el ping comando falla desde el dispositivo serie SRX o SSG, puede haber un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y el descifrado de los paquetes ESP.

Ejemplo: Configuración de la serie SRX para el aprovisionamiento de celdas Pico con carga de configuración IKEv2

En redes en las que se despliegan muchos dispositivos, la gestión de la red debe ser sencilla. La función de carga de configuración de IKEv2 admite el aprovisionamiento de estos dispositivos sin tocar la configuración del dispositivo o la configuración de la serie SRX. En este ejemplo, se muestra cómo configurar una serie SRX para admitir el aprovisionamiento de celdas pico mediante la función de carga de configuración IKEv2.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos firewalls serie SRX configurados en un clúster de chasis

  • Un firewall serie SRX configurado como enrutador intermedio

  • Dos clientes de celda pico

  • Un servidor RADIUS configurado con información de aprovisionamiento de cliente pico cell

  • Junos OS versión 12.1X46-D10 o posterior para soporte de carga de configuración IKEv2

Descripción general

En este ejemplo, una serie SRX usa la función de carga de configuración IKEv2 para propagar la información de aprovisionamiento a una serie de celdas pico. Las celdas pico se envían de fábrica con una configuración estándar que les permite conectarse a la serie SRX, pero la información de aprovisionamiento de celdas pico se almacena en un servidor RADIUS externo. Las celdas pico reciben información completa de aprovisionamiento después de establecer conexiones seguras con servidores de aprovisionamiento en una red protegida. La carga de configuración de IKEv2 se admite tanto para IPv4 como para IPV6. En este ejemplo, se trata la carga de configuración de IKEv2 para IPv4, sin embargo, también puede configurar con direcciones IPv6.

A partir de Junos OS versión 20.3R1, somos compatibles con la carga de configuración IKEv2 IPv6 para asignar dirección IPv6 en la línea SRX5000 que ejecuta el proceso iked. La misma compatibilidad se incluye en el firewall virtual vSRX que ejecuta el proceso de iked a partir de Junos OS versión 21.1R1.

Figura 1 muestra una topología en la que la serie SRX admite el aprovisionamiento de celdas pico mediante la función de carga de configuración IKEv2.

Figura 1: Soporte de la serie SRX para el aprovisionamiento de celdas Pico con carga de configuración IKEv2 Soporte de la serie SRX para el aprovisionamiento de celdas Pico con carga de configuración IKEv2

Cada celda pico de esta topología inicia dos VPN IPsec: uno para la administración y otro para los datos. En este ejemplo, el tráfico de administración usa el túnel etiquetado como túnel OAM, mientras que el tráfico de datos fluye a través del túnel etiquetado como túnel 3GPP. Cada túnel admite conexiones con servidores de aprovisionamiento OAM y 3GPP en redes independientes y configurables, lo que requiere instancias de enrutamiento y VPN independientes. En este ejemplo, se proporcionan las opciones de fase 1 y fase 2 de ICR para establecer las VPN de OAM y 3GPP.

En este ejemplo, la serie SRX actúa como el servidor de carga de configuración IKEv2, adquiriendo información de aprovisionamiento del servidor RADIUS y proporcionando esa información a los clientes de celda pico. La serie SRX devuelve la información de aprovisionamiento para cada cliente autorizado en la carga de configuración de IKEv2 durante la negociación de túnel. La serie SRX no se puede utilizar como dispositivo cliente.

Además, la serie SRX usa la información de carga de configuración de IKEv2 para actualizar los valores del iniciador del selector de tráfico (TSi) y del respondedor del selector de tráfico (TSr) intercambiados con el cliente durante la negociación del túnel. La carga de configuración usa los valores TSi y TSr que se configuran en la serie SRX mediante la proxy-identity instrucción en el nivel de jerarquía [edit security ipsec vpn vpn-name ike]. Los valores TSi y TSr definen el tráfico de red para cada VPN.

El enrutador intermedio enruta el tráfico de celdas pico a las interfaces adecuadas de la serie SRX.

El siguiente proceso describe la secuencia de conexión:

  1. La celda pico inicia un túnel IPsec con la serie SRX mediante la configuración de fábrica.

  2. La serie SRX autentica al cliente mediante la información del certificado de cliente y el certificado raíz de la CA que está inscrita en la serie SRX. Después de la autenticación, la serie SRX pasa la información de identidad de IKE del certificado de cliente al servidor RADIUS en una solicitud de autorización.

  3. Después de autorizar el cliente, el servidor RADIUS responde a la serie SRX con la información de aprovisionamiento del cliente:

    • Dirección IP (valor TSi)

    • Máscara de subred IP (opcional; el valor predeterminado es de 32 bits)

    • Dirección DNS (opcional)

  4. La serie SRX devuelve la información de aprovisionamiento en la carga de configuración de IKEv2 para cada conexión de cliente e intercambia los valores finales de TSi y TSr con las celdas pico. En este ejemplo, la serie SRX proporciona la siguiente información de TSi y TSr para cada VPN:

    Conexión VPN

    Valores TSi/TSr proporcionados por SRX

    Pico 1 OAM

    Eti: 10.12.1.201/32, TSr: 192.168.2.0/24

    Pico 1 3GPP

    Eti: 10.13.1.201/32, TSr: 192.168. 3.0/24, TSr: 10.13.0.0/16

    Pico 2 OAM

    Eti: 10.12.1.205/32, TSr: 192.168.2.0/24

    Pico 2 3GPP

    Eti: 10.13.1.205/32, TSr: 192.168. 3.0/24, TSr: 10.13.0.0/16

    Si la información de aprovisionamiento proporcionada por el servidor RADIUS incluye una máscara de subred, la serie SRX devuelve un segundo valor TSr para la conexión del cliente que incluye la subred IP. Esto permite la comunicación intrapeer para dispositivos en esa subred. En este ejemplo, la comunicación intrapeer está habilitada para la subred asociada con la VPN 3GPP (13.13.0.0/16).

    La función de carga de configuración IKEv2 es compatible con las interfaces de túnel seguro de punto a multipunto (st0) y las interfaces de punto a punto. En el caso de las interfaces de punto a multipunto, las interfaces deben estar numeradas y las direcciones proporcionadas en la carga de configuración deben estar dentro del intervalo de subredes de la interfaz de punto a multipunto asociada.

    A partir de junos OS versión 20.1R1, somos compatibles con la función de carga de configuración IKEv2 con interfaces punto a punto en la línea SRX5000 y firewall virtual vSRX que se ejecuta iked.

Tabla 7 muestra las opciones de fase 1 y fase 2 configuradas en la serie SRX, incluida la información para establecer túneles OAM y 3GPP.

Tabla 7: Opciones de fase 1 y fase 2 para la serie SRX

Option

valor

Propuesta de ICR:

Nombre de la propuesta

IKE_PROP

Método de autenticación

Certificados digitales RSA

Grupo Diffie-Hellman (DH)

grupo5

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 256 CBC

Política de ICR:

Nombre de la política de ICR

IKE_POL

Certificado local

Example_SRX

Puerta de enlace de ICR (OAM):

Política de ICR

IKE_POL

Dirección IP remota

Dinámica

Tipo de usuario de ICR

group-ike-id

Local IKE ID

nombre de host srx_series.example.net

ID de IKE remoto

nombre de host .pico_cell.net

Interfaz externa

reth0.0

Perfil de acceso

radius_pico

Versión de ICR

v2-only

Puerta de enlace de ICR (3GPP):

Política de ICR

IKE_POL

Dirección IP remota

Dinámica

Tipo de usuario de ICR

group-ike-id

Local IKE ID

comodín de nombre distinguido OU=srx_series

ID de IKE remoto

comodín de nombre distinguido OU=pico_cell

Interfaz externa

reth1

Perfil de acceso

radius_pico

Versión de ICR

v2-only

Propuesta de IPsec:

Nombre de la propuesta

IPSEC_PROP

Protocolo

ESP

Algoritmo de autenticación

HMAC SHA-1 96

Algoritmo de cifrado

AES 256 CBC

Política de IPsec:

Nombre de la política

IPSEC_POL

Claves de confidencialidad directa perfecta (PFS)

grupo5

Propuestas de IPsec

IPSEC_PROP

VPN IPsec (OAM):

Interfaz de enlace

st0.0

Puerta de enlace de ICR

OAM_GW

Identidad de proxy local

192.168.2.0/24

Identidad de proxy remota

0.0.0.0/0

Política IPsec

IPSEC_POL

VPN IPsec (3GPP):

Interfaz de enlace

st0.1

Puerta de enlace de ICR

3GPP_GW

Identidad de proxy local

192.168. 3.0/24

Identidad de proxy remota

0.0.0.0/0

Política IPsec

IPSEC_POL

Los certificados se almacenan en las celdas pico y en la serie SRX.

En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.

Configuración

Configuración de la serie SRX

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar la serie SRX:

  1. Configure el clúster de chasis.

  2. Configure interfaces.

  3. Configure las opciones de enrutamiento.

  4. Especifique zonas de seguridad.

  5. Cree el perfil RADIUS.

  6. Configure las opciones de fase 1.

  7. Especifique las opciones de fase 2.

  8. Especifique las instancias de enrutamiento.

  9. Especifique políticas de seguridad para permitir el tráfico de sitio a sitio.

Resultados

Desde el modo de configuración, ingrese los comandos , show interfaces, show routing-instancesshow security zonesshow security policiesshow access profile radius_picoshow security ipsecshow security ikey para confirmar la show chassis clusterconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del enrutador intermedio

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.

Para configurar el enrutador intermedio:

  1. Configure interfaces.

  2. Configure las opciones de enrutamiento.

  3. Especifique zonas de seguridad.

  4. Especifique políticas de seguridad.

Resultados

Desde el modo de configuración, ingrese los comandos , show routing-options, show security zonesy show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de la celda Pico (configuración de ejemplo)

Procedimiento paso a paso

La información de celdas pico de este ejemplo se proporciona como referencia. La información detallada de configuración de celdas pico está fuera del alcance de este documento. La configuración de fábrica de celdas pico debe incluir la siguiente información:

  • Certificado local (X.509v3) e información de identidad IKE

  • Valores del selector de tráfico (TSi, TSr) establecidos en cualquiera o cualquier (0.0.0.0/0)

  • Información de identidad IKE de la serie SRX y dirección IP pública

  • Propuestas de fase 1 y fase 2 que coincidan con la configuración de la serie SRX

Las celdas pico de este ejemplo usan el software de código abierto strongSwan para conexiones VPN basadas en IPsec. La serie SRX utiliza esta información para el aprovisionamiento de celdas pico mediante la función de carga de configuración IKEv2. En redes en las que se implementan muchos dispositivos, la configuración de la celda pico puede ser idéntica, excepto para la información del certificado (leftcert) y la información de identidad (leftid). Las siguientes configuraciones de ejemplo ilustran la configuración de fábrica.

  1. Revise la configuración de Pico 1:

    Pico 1: Configuración de ejemplo

  2. Revise la configuración de Pico 2:

    Configuración de ejemplo de Pico 2

Configuración del servidor RADIUS (configuración de ejemplo con un FreeRADIUS)

Procedimiento paso a paso

La información del servidor RADIUS de este ejemplo se proporciona como referencia. La información completa de configuración del servidor RADIUS está fuera del alcance de este documento. El servidor RADIUS devuelve la siguiente información a la serie SRX:

  • Dirección IP enmarcada

  • Máscara de red IP enmarcada (opcional)

  • DNS principal y DNS secundario (opcional)

En este ejemplo, el servidor RADIUS tiene información de aprovisionamiento independiente para las conexiones OAM y 3GPP. El nombre de usuario se toma de la información del certificado de cliente proporcionada en la solicitud de autorización serie SRX.

Si el servidor RADIUS adquiere información de aprovisionamiento de cliente de un servidor DHCP, la información de identidad del cliente transmitida al servidor DHCP por el servidor RADIUS debe ser coherente con la información de identidad de IKE del cliente transmitida al servidor RADIUS por el firewall de la serie SRX. Esto garantiza la continuidad de la identidad del cliente en los distintos protocolos.

El canal de comunicación entre el firewall de la serie SRX y el servidor RADIUS está protegido por un secreto compartido RADIUS.

  1. Revise la configuración RADIUS para pico 1 OAM VPN. El servidor RADIUS tiene la siguiente información:

    Configuración RADIUS de ejemplo en las versiones 12.3X48 y Junos OS anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:

    Ejemplo de configuración de FreeRADIUS:

    Configuración RADIUS de ejemplo a partir de las versiones de Junos OS 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:

    Ejemplo de configuración de FreeRADIUS:

    En este caso, el servidor RADIUS proporciona la máscara de subred predeterminada (255.255.255.255), que bloquea el tráfico de intrapeer.

  2. Revise la configuración RADIUS para la VPN Pico 3GPP de Pico 1. El servidor RADIUS tiene la siguiente información:

    Configuración RADIUS de ejemplo en las versiones 12.3X48 y Junos OS anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:

    Ejemplo de configuración de FreeRADIUS:

    Configuración RADIUS de ejemplo a partir de las versiones de Junos OS 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:

    Ejemplo de configuración de FreeRADIUS:

    En este caso, el servidor RADIUS proporciona un valor de máscara de subred (255.255.0.0), que permite el tráfico intrapeer.

    A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para solicitudes de carga de configuración de IKEv2 para una configuración de puerta de enlace de IKE. La contraseña común en el rango de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta contraseña se utiliza entre el firewall de la serie SRX y el servidor RADIUS cuando el firewall serie SRX solicita una dirección IP en nombre de un par IPsec remoto mediante la carga de configuración IKEv2. El servidor RADIUS valida las credenciales antes de proporcionar información ip al firewall serie SRX para la solicitud de carga de configuración. Puede configurar la contraseña común mediante config-payload-password configured-password la instrucción de configuración en el [edit security ike gateway gateway-name aaa access-profile access-profile-name] nivel de jerarquía. Además, en este ejemplo se crean dos túneles desde el mismo certificado de cliente mediante el uso de diferentes partes del certificado para la información de nombre de usuario (identidad IKE).

Verificación

Confirme que la configuración funciona correctamente.

Verificar el estado de fase 1 de ICR para la serie SRX

Propósito

Verifique el estado de fase 1 de ICR.

Acción

Desde el modo operativo en el nodo 0, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations detail comando.

Significado

El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas con dispositivos de celdas pico. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. En este ejemplo, solo se muestra la SA de fase 1 de IKE para la VPN de OAM; sin embargo, se mostrará una SA de fase 1 de IKE independiente que muestra los parámetros de fase 1 de IKE para la VPN 3GPP.

Si se enumeran las SA, revise la siguiente información:

  • Índice: este valor es único para cada SA de IKE: puede usar el show security ike security-associations index detail comando para obtener más información sobre la SA.

  • Dirección remota: compruebe que la dirección IP local sea correcta y que el puerto 500 se esté utilizando para la comunicación par a par.

  • Estado de función de respuesta:

    • Ascendente: se estableció la SA de fase 1.

    • Abajo: hubo un problema al establecer la SA de fase 1.

  • ID de IKE par (remoto): compruebe que la información del certificado es correcta.

  • Identidad local e identidad remota: compruebe que estas direcciones son correctas.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Interfaces externas (la interfaz debe ser la que envía paquetes IKE)

  • Parámetros de política de ICR

  • Parámetros de propuesta de fase 1 (deben coincidir entre pares)

El show security ike security-associations comando enumera la siguiente información adicional acerca de las asociaciones de seguridad:

  • Algoritmos de autenticación y cifrado utilizados

  • Vida útil de la fase 1

  • Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el par que usa la función de responder.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Verificar asociaciones de seguridad IPsec para la serie SRX

Propósito

Compruebe el estado de IPsec.

Acción

Desde el modo operativo en el nodo 0, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations detail comando.

Significado

En estos ejemplos, se muestran las SA de fase 2 de IKE activas para Pico 1. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política IPsec en su configuración. Para cada SA de fase 2 (OAM y 3GPP), se proporciona información tanto en la dirección de entrada como de salida. El resultado del show security ipsec security-associations comando enumera la siguiente información:

  • La puerta de enlace remota tiene una dirección IP de 10.1.1.1.

  • Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 3529/ indica que la vida útil de la fase 2 caduca en 3529 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.

  • La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está desactivada.

  • El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.

El resultado anterior del show security ipsec security-associations index index_id detail comando enumera la siguiente información:

  • La identidad local y la identidad remota constituyen el ID de proxy para la SA.

    Una de las causas más comunes de una falla de fase 2 es una discordancia del ID de proxy. Si no se muestra ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores externos, el ID de proxy se debe ingresar manualmente para que coincida.

  • Algoritmos de autenticación y cifrado utilizados.

  • Parámetros de propuesta de fase 2 (deben coincidir entre pares).

  • Enlaces de túnel seguro (st0.0 y st0.1) a las puertas de enlace OAM y 3GPP.

Política de ICR con una CA de confianza

En este ejemplo, se muestra cómo enlazar un servidor de CA de confianza a una política de IKE del par.

Antes de comenzar, debe tener una lista de todas las CA de confianza que desea asociar con la política de ICR del par.

Puede asociar una política de ICR a un único perfil de CA de confianza o a un grupo de CA de confianza. Para establecer una conexión segura, la puerta de enlace de IKE usa la política de IKE para limitarse al grupo configurado de CA (ca-profiles) mientras valida el certificado. No se valida un certificado emitido por cualquier fuente que no sea la CA de confianza o el grupo de CA de confianza. Si hay una solicitud de validación de certificado procedente de una política de IKE, el perfil de CA asociado de la política de IKE validará el certificado. Si una política de ICR no está asociada con ninguna CA, de forma predeterminada, cualquiera de los perfiles de CA configurados valida el certificado.

En este ejemplo, se crea un perfil de CA denominado root-ca y se root-ca-identity asocia un perfil de CA al perfil.

Puede configurar un máximo de 20 perfiles de CA que desee agregar a un grupo de CA de confianza. No puede confirmar su configuración si configura más de 20 perfiles de CA en un grupo de CA de confianza.

  1. Cree un perfil de CA y asocie un identificador de CA al perfil.
  2. Defina una propuesta de ICR y el método de autenticación de propuesta de ICR.
  3. Defina el grupo Diffie-Hellman, un algoritmo de autenticación, un algoritmo de cifrado para la propuesta de IKE.
  4. Configure una política de ICR y asocie la política con la propuesta de IKE.
  5. Configure un identificador de certificado local para la política de IKE.
  6. Defina la CA que se utilizará para la política de IKE.

Para ver los perfiles de CA y los grupos de CA de confianza configurados en su dispositivo, ejecute show security pki el comando.

El show security ike comando muestra el grupo de perfiles de CA bajo la política de IKE denominada ike_policy y el certificado asociado con la política de IKE.