Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN basada en rutas con IKEv2

Intercambio de claves por red versión 2 (IKEv2) es un protocolo de túnel basado en IPsec que proporciona un canal de comunicación VPN seguro entre dispositivos VPN del mismo nivel y define la negociación y autenticación para las asociaciones de seguridad IPsec (SA) de manera protegida.

Ejemplo Configuración de una VPN basada en rutas para IKEv2

En este ejemplo se muestra cómo configurar una VPN basada en enrutamiento IPsec para permitir que los datos se transfieran de manera segura entre una sucursal y una oficina corporativa.

Aplicables

Este ejemplo utiliza el siguiente hardware:

  • Dispositivo SRX240

  • Dispositivo SSG140

Antes de comenzar, lea Descripción general de IPsec .

Descripción general

En este ejemplo, puede configurar una VPN basada en ruta para una sucursal de Chicago, Illinois, ya que desea conservar los recursos de túnel pero aún así obtener restricciones granulares sobre el tráfico VPN. Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes empresariales en Sunnyvale, California.

En este ejemplo, puede configurar las interfaces, una ruta predeterminada IPv4, las zonas de seguridad y las libretas de direcciones. A continuación, configure ICR fase 1, IPsec Phase 2, una directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 1 a Tabla 5 través de los parámetros de configuración específicos que se utilizan en este ejemplo.

Tabla 1: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones

Función

Nombre

Parámetros de configuración

Interfaces

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

St 0.0 (interfaz de túnel)

10.11.11.10/24

Rutas estáticas

0.0.0.0/0 (ruta predeterminada)

El siguiente salto es 10.1.1.1.

192.168.168.0/24

El siguiente salto es St 0.0.

Zonas de seguridad

confia

  • Se permiten todos los servicios del sistema.

  • La interfaz GE-0/0/0.0 está enlazada a esta zona.

no fiable

  • ICR es el único servicio de sistema permitido.

  • La interfaz GE-0/0/3.0 está enlazada a esta zona.

VPN-Chicago

La interfaz St 0.0 está enlazada a esta zona.

Entradas de la libreta de direcciones

Sunnyvale

  • Esta dirección es para la libreta de direcciones de la zona de confianza.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.10.0/24.

Oficina

  • Esta dirección es para la libreta de direcciones de la zona de no confianza.

  • La dirección de esta entrada de la libreta de direcciones es 192.168.168.0/24.

Tabla 2: Parámetros de configuración de ICR fase 1

Función

Nombre

Parámetros de configuración

Clasificado

ike-phase1-proposal

  • Método de autenticación: claves previamente compartidas

  • Grupo Diffie-Hellman: group2

  • Algoritmo de autenticación: sha1

  • Algoritmo de cifrado: aes-128-cbc

Políticas

ike-phase1-policy

  • Medio principalmente

  • Referencia de la propuesta: ike-phase1-proposal

  • Método de autenticación de directiva de fase 1 ICR: texto ASCII con clave compartida previa

Gateway

GW-Chicago

  • Referencia de políticas ICR: ike-phase1-policy

  • Interfaz externa: ge-0/0/3.0

  • Dirección de puerta de enlace: 10.2.2.2

Tabla 3: Parámetros de configuración de la fase 2 de IPsec

Función

Nombre

Parámetros de configuración

Clasificado

ipsec-phase2-proposal

  • Protocolo sensorial

  • Algoritmo de autenticación: hmac-sha1-96

  • Algoritmo de cifrado: aes-128-cbc

Políticas

ipsec-phase2-policy

  • Referencia de la propuesta: ipsec-phase2-proposal

  • PF Diffie-Hellman grupo2

VIRTUALES

IPSec-VPN-Chicago

  • Referencia de puerta de enlace ICR: GW-Chicago

  • Referencia de directiva IPsec: ipsec-phase2-policy

  • Enlazar con interfaz: st0.0

Tabla 4: Parámetros de configuración de la Directiva de seguridad

Purpose

Nombre

Parámetros de configuración

La Directiva de seguridad permite el tráfico desde la zona de confianza hasta la zona VPN-Chicago.

VPN-TR-Chi

  • Criterios de coincidencia:

    • Sunnyvale de dirección de origen

    • destino de la dirección de Chicago

    • aplicación cualquier

  • Intervención estancia

La política de seguridad permite el tráfico desde la zona VPN-Chicago hacia la zona de confianza.

VPN-Chi-TR

  • Criterios de coincidencia:

    • Dirección de origen Chicago

    • Sunnyvale de dirección de destino

    • aplicación cualquier

  • Intervención estancia

Tabla 5: Parámetros de configuración de TCP-MSS

Purpose

Parámetros de configuración

TCP-MSS se negocia como parte del Protocolo de enlace de TCP de tres vías y limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y Frame, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que produce una fragmentación. La fragmentación aumenta el ancho de banda y los recursos de dispositivos.

Se recomienda el valor 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que necesite experimentar con distintos valores de TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo de la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional, como PPP o Frame Relay.

Valor MSS: 1350

Automática

Configuración de la interfaz, ruta estática, zona de seguridad e información de la libreta de direcciones

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar información de interfaz, ruta estática, zona de seguridad y libreta de direcciones:

  1. Configurar la información de interfaz Ethernet.

  2. Configurar la información de rutas estáticas.

  3. Configure la zona de seguridad que no es de confianza.

  4. Asigne una interfaz a la zona de seguridad.

  5. Especifique los servicios del sistema permitidos para la zona de seguridad.

  6. Configure la zona de seguridad de confianza.

  7. Asigne una interfaz a la zona de seguridad de confianza.

  8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.

  9. Configure la entrada de la libreta de direcciones para la zona de seguridad de confianza.

  10. Configure la zona de seguridad VPN-Chicago.

  11. Asigne una interfaz a la zona de seguridad.

  12. Configure la entrada de la libreta de direcciones para la zona VPN-Chicago.

Resultados

Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show security zones para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar ICR

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar ICR:

  1. Cree la propuesta ICR fase 1.

  2. Defina el método de autenticación de propuesta de ICR.

  3. Definir el grupo Diffie-Hellman de la propuesta de ICR.

  4. Defina el algoritmo de autenticación de propuesta de ICR.

  5. Defina el algoritmo de cifrado de la propuesta de ICR.

  6. Crear una directiva ICR la fase 1.

  7. Especifique una referencia a la propuesta de ICR.

  8. Defina el método de autenticación de directivas ICR fase 1.

  9. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.

  10. Defina la referencia de directiva ICR fase 1.

  11. Defina la dirección de puerta de enlace ICR Phase 1.

  12. Defina la versión de puerta de enlace ICR Phase 1.

Resultados

Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de IPsec

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar IPsec:

  1. Cree una propuesta relativa a la fase 2 de IPsec.

  2. Especifique el protocolo de propuesta de fase 2 de IPsec.

  3. Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.

  4. Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.

  5. Crear la Directiva de fase 2 de IPsec.

  6. Especifique la referencia a la propuesta de la fase 2 de IPsec.

  7. Especificar IPsec PFS de fase 2 para utilizar Diffie-Hellman Group 2.

  8. Especifique el ICR puerta de enlace.

  9. Especifique la directiva IPsec de fase 2.

  10. Especifique la interfaz que se va a enlazar.

Resultados

Desde el modo de configuración, escriba el show security ipsec comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de políticas de seguridad

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar las políticas de seguridad:

  1. Crear la Directiva de seguridad para permitir el tráfico desde la zona de confianza hacia la zona VPN-Chicago.

  2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN-Chicago a la zona de confianza.

Resultados

Desde el modo de configuración, escriba el show security policies comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configurar TCP-MSS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar la información de MSS de TCP:

  1. Configure TCP-MSS Information.

Resultados

Desde el modo de configuración, escriba el show security flow comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del dispositivo serie SSG

Configuración rápida de CLI

Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más información sobre cómo configurar dispositivos serie SSG, consulte la Guía de referencia de Concepts & Examples ScreenOS,que se encuentra en la https://www.juniper.net/documentation.

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación commit , entrar desde el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Verificación del estado de la fase 1 ICR

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a un host en la red 192.168.168/24. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado por el dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.

En modo operativo, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations index index_number detail el comando.

Efectos

El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show security ike security-associations index detail más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP remota es correcta.

  • Estado

    • UP: se estableció la SA de fase 1.

    • ABAJO: se hubo un problema al establecer la SA de fase 1.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR).

  • ICR los parámetros de la Directiva.

  • Información de claves previamente compartidas.

  • Parámetros de propuesta de la fase 1 (deben coincidir en ambos interlocutores).

El show security ike security-associations index 1 detail comando muestra información adicional acerca de la SA con un número de índice 1:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

Comprobación del estado de la fase 2 de IPsec

Purpose

Compruebe el estado de la fase 2 de IPsec.

Intervención

En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations index index_number detail el comando.

Efectos

La salida del show security ipsec security-associations comando muestra la siguiente información:

  • El número de identificación es 16384. Utilice este valor con el show security ipsec security-associations index comando para obtener más información acerca de esta SA en particular.

  • Existe un par IPsec SA con el puerto 500.

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. El valor 3363/unlim indica que la duración de la fase 2 caduca en 3363 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • Vsys es el sistema raíz y siempre aparece en la lista como 0.

  • IKEv2 permite conexiones desde un sistema del mismo nivel de la versión 2 y iniciará una negociación de la versión 2.

La salida del show security ipsec security-associations index 16384 detail comando muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID. de proxy de la SA.

    Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta, el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.

  • Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.

Revisar las estadísticas y los errores de una asociación de seguridad IPsec

Purpose

Revisar los contadores ESP y los encabezados de autenticación, así como los errores de IPsec SA.

Intervención

Desde el modo operativo, escriba show security ipsec statistics index index_number el comando utilizando el número de índice de la VPN cuyas estadísticas desea ver.

También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los errores de todas las SA.

Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.

Efectos

Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando show security ipsec statistics detail o varias veces para confirmar que los contadores de paquetes cifrados y descifrados se incrementan. También debe comprobar que el resto de los contadores de errores se incrementan.

Probar el flujo de tráfico a través de la VPN

Purpose

Compruebe el flujo de tráfico a través de la VPN.

Intervención

Puede utilizar el ping comando del dispositivo de serie SRX para probar el flujo de tráfico en el PC de un host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de la Directiva.

En modo operativo, escriba el ping comando.

También puede usar el ping comando del dispositivo serie SSG.

Efectos

Si el ping comando no funciona desde el dispositivo de la serie serie SRX o SSG, es posible que exista un problema con el enrutamiento, las directivas de seguridad, el host final o el cifrado y descifrado de los paquetes ESP.

Ejemplo Configurando el serie SRX para el aprovisionamiento pico de celda con carga de configuración IKEv2

En las redes en las que se están distribuyendo varios dispositivos, es necesario que la administración de la red sea sencilla. La característica de carga de configuración de IKEv2 es compatible con el aprovisionamiento de estos dispositivos sin tocar ni la configuración del dispositivo ni la serie SRX. En este ejemplo se muestra cómo configurar un serie SRX para admitir el aprovisionamiento de celda pico mediante la característica de carga de configuración de IKEv2.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos dispositivos serie SRX configurados en un clúster del chasis

  • Un dispositivo serie SRX configurado como enrutador intermedio

  • Dos clientes de celda pico

  • Un servidor RADIUS configurado con información de aprovisionamiento de clientes celda pico

  • Junos OS de la versión 12.1 X46-D10 o posterior para la compatibilidad con la carga de la configuración IKEv2

Descripción general

En este ejemplo, un serie SRX usa la característica de carga de configuración de IKEv2 para propagar la información de aprovisionamiento a una serie de celdas de pico. Las celdas de pico se envían desde la fábrica con una configuración estándar que les permite conectarse al serie SRX, pero la información de aprovisionamiento de celdas de pico se almacena en un servidor RADIUS externo. Las celdas pico reciben información de aprovisionamiento completa después de establecer conexiones seguras con servidores de aprovisionamiento en una red protegida. La característica de carga de configuración de IKEv2 solo se admite para IPv4.

Figura 1 muestra una topología en la que la serie SRX admite el aprovisionamiento de celdas pico mediante la función de carga de configuración IKEv2.

Figura 1: serie SRX compatibilidad con el aprovisionamiento de celdas pico con la carga de configuración IKEv2 serie SRX compatibilidad con el aprovisionamiento de celdas pico con la carga de configuración IKEv2

Cada celda pico de esta topología inicia dos VPN de IPsec: uno para la administración y otro para los datos. En este ejemplo, el tráfico de administración usa el túnel etiquetado mantenimiento seguros Tunnel, mientras que el tráfico de datos fluye a través del túnel identificado como un túnel 3GPP. Cada túnel admite conexiones con servidores de aprovisionamiento de mantenimiento seguros y 3GPP en redes distintas y configurables, que requieren distintas instancias de encaminamiento y VPN. Este ejemplo proporciona las opciones ICR Phase 1 y Phase 2 para establecer las VPN mantenimiento seguros y 3GPP.

En este ejemplo, el serie SRX actúa como el servidor de carga de configuración IKEv2, adquiriendo el aprovisionamiento de la información del servidor RADIUS y proporcionando esa información a los clientes de celda pico. El serie SRX devuelve la información de aprovisionamiento de cada cliente autorizado en la carga de configuración IKEv2 durante la negociación de túnel. No se puede usar el serie SRX como dispositivo cliente.

Además, el serie SRX usa la información de carga de configuración de IKEv2 para actualizar el iniciador del selector de tráfico (TSr) y los valores del respondedor del selector de tráfico intercambiados con el cliente durante la negociación del túnel. La carga de configuración utiliza la ETI y los valores TSr que se configuran en proxy-identity el serie SRX mediante laedit security ipsec vpn vpn-name ikeinstrucción en el nivel de jerarquía []. Los valores de la ETI y los TSr definen el tráfico de red de cada VPN.

El enrutador intermedio enruta el tráfico de celdas pico a las interfaces correspondientes del serie SRX.

El siguiente proceso describe la secuencia de conexión:

  1. La celda pico inicia un túnel IPsec con el serie SRX utilizando la configuración de fábrica.

  2. En el serie SRX se autentica al cliente mediante la información de certificado de cliente y el certificado raíz de la entidad emisora que está inscrito en el serie SRX. Después de la autenticación, el serie SRX pasa la ICR la información de identidad del certificado de cliente al servidor RADIUS en una solicitud de autorización.

  3. Después de autorizar al cliente, el servidor de RADIUS responderá a la serie SRX con la información de aprovisionamiento del cliente:

    • Dirección IP (valor de la ETI)

    • Máscara de subred IP (opcional; el valor predeterminado es 32 de bits)

    • Dirección DNS (opcional)

  4. El serie SRX devuelve la información de aprovisionamiento en la carga de configuración de IKEv2 para cada conexión de cliente y intercambia los valores de TSr y ETI finales con las celdas de pico. En este ejemplo, el serie SRX proporciona la siguiente información sobre la ETI y los TSr para cada VPN:

    Conexión VPN

    Valores de ETI/TSr suministrados por SRX

    Pico 1 mantenimiento seguros

    Relativa 12.12.1.201/32, TSr: 192.168.2.0/24

    Pico 1 3GPP

    Relativa 13.13.1.201/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16

    Pico 2 mantenimiento seguros

    Relativa 12.12.1.205/32, TSr: 192.168.2.0/24

    Pico 2 3GPP

    Relativa 13.13.1.205/32, TSr: 192.169.2.0/24, TSr: 13.13.0.0/16

    Si la información de aprovisionamiento suministrada por el servidor RADIUS incluye una máscara de subred, el serie SRX devolverá un segundo valor TSr para la conexión del cliente que incluya la subred IP. Esto habilita la comunicación en el mismo nivel para los dispositivos de esa subred. En este ejemplo, la comunicación dentro del mismo nivel está habilitada para la subred asociada con la VPN 3GPP (13.13.0.0/16).

    La característica de carga de configuración de IKEv2 solo se admite para interfaces de túnel seguro punto a multipunto (st0). Para interfaces de punto a multipunto, las interfaces deben estar numeradas y las direcciones que se proporcionan en la carga de configuración deben estar dentro del rango de subred de la interfaz de punto a multipunto asociada.

Tabla 6 muestra las opciones de fase 1 y fase 2 configuradas en la serie SRX, incluida la información para establecer túneles OAM y 3GPP.

Tabla 6: Opciones de las fases 1 y 2 de la serie SRX

,

Valor

ICR propuesta:

Nombre de la propuesta

IKE_PROP

Método de autenticación

Certificados digitales de RSA

Grupo Diffie-Hellman (DH)

group5

Algoritmo de autenticación

SHA-1

Algoritmo de cifrado

AES 256 CBC

Directiva de ICR:

Nombre de directiva ICR

IKE_POL

Certificado local

Example_SRX

Puerta de enlace de ICR (mantenimiento seguros):

ICR Directiva

IKE_POL

Dirección IP remota

manera

Tipo de usuario ICR

Group-IKE-ID

ID. de ICR local

hostname srx_series. example. net

ID. de ICR remoto

hostname. pico_cell .net

Interfaz externa

Reth 0.0

Perfil de acceso

radius_pico

ICR versión

v2-only

Puerta de enlace de ICR (3GPP):

ICR Directiva

IKE_POL

Dirección IP remota

Manera

Tipo de usuario ICR

Group-IKE-ID

ID. de ICR local

comodines de nombre distintivo = srx_series

ID. de ICR remoto

comodines de nombre distintivo = pico_cell

Interfaz externa

reth1

Perfil de acceso

radius_pico

ICR versión

v2-only

Propuesta de IPsec:

Nombre de la propuesta

IPSEC_PROP

Protocolo

SENSORIAL

Algoritmo de autenticación

HMAC SHA-1 96

Algoritmo de cifrado

AES 256 CBC

Directiva IPsec:

Nombre de la Directiva

IPSEC_POL

Claves de confidencialidad directa perfecta (PFS)

group5

Propuestas de IPsec

IPSEC_PROP

IPsec VPN (mantenimiento seguros):

Enlazar interfaz

st0.0

Puerta de enlace ICR

OAM_GW

Proxy local: identidad

192.168.2.0/24

Identidad de proxy remoto

0.0.0.0/0

Directiva IPsec

IPSEC_POL

IPsec VPN (3GPP):

Enlazar interfaz

st0.1

Puerta de enlace ICR

3GPP_GW

Proxy local: identidad

192.169.2.0/24

Identidad de proxy remoto

0.0.0.0/0

Directiva IPsec

IPSEC_POL

Los certificados se almacenan en el pico de celdas y el serie SRX.

En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de producción. Consulte Introducción a las políticas de seguridad.

Automática

Configuración del serie SRX

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar el serie SRX:

  1. Configure el clúster del chasis.

  2. Configurar interfaces.

  3. Configure las opciones de enrutamiento.

  4. Especificar las zonas de seguridad.

  5. Cree el perfil de RADIUS.

  6. Configure las opciones de fase 1.

  7. Especifique las opciones de fase 2.

  8. Especifique las instancias de enrutamiento.

  9. Especifique políticas de seguridad para permitir el tráfico de sitio a sitio.

Resultados

Desde el modo de configuración, confirme la configuración show chassis clusterespecificando los comandos show access profile radius_pico, show security ikeshow interfaces, show security ipsecshow security zones, show routing-instances,, show security policies y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración del enrutador intermedio

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.

Para configurar el enrutador intermedio:

  1. Configurar interfaces.

  2. Configure las opciones de enrutamiento.

  3. Especificar las zonas de seguridad.

  4. Especificar las políticas de seguridad.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-optionsescriba show security zoneslos comandos show security policies ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Configuración de la celda pico (configuración de ejemplo)

Procedimiento paso a paso

La información de la celda pico de este ejemplo se proporciona como referencia. La información detallada de configuración de celda pico queda fuera del alcance de este documento. La configuración de la fábrica de celdas de pico debe incluir la siguiente información:

  • Certificado local (X. 509v3) e información de identidad del ICR

  • Valores de selector de tráfico (ETI, TSr) establecidos en cualquiera/cualquiera (0.0.0.0/0)

  • serie SRX ICR información de identidad y dirección IP pública

  • Propuestas de las fases 1 y 2 que coincidan con la configuración serie SRX

Las celdas pico de este ejemplo utilizan strongSwan software de código abierto para conexiones VPN basadas en IPsec. Esta información la usa el serie SRX para el aprovisionamiento de celda pico mediante la característica de carga de configuración de IKEv2. En las redes en las que se implementan varios dispositivos, la configuración de celda pico puede ser idéntica, salvo en el caso de la información de certificado (leftcert) e identidad (leftid). Las siguientes configuraciones de ejemplo muestran la configuración de fábrica.

  1. Revisar la configuración de pico de 1:

    Pico 1: Configuración de ejemplo

  2. Revise la configuración de pico 2:

    Configuración de muestra de pico 2

Configuración del servidor de RADIUS (configuración de ejemplo con un FreeRADIUS)

Procedimiento paso a paso

La información del servidor RADIUS se proporciona para referencia en este ejemplo. La información completa RADIUS configuración del servidor queda fuera del alcance de este documento. El servidor RADIUS devolverá la siguiente información a serie SRX:

  • Dirección IP entramada

  • Máscara de la m de IP con trama (opcional)

  • DNS principal y secundario-DNS (opcional)

En este ejemplo, el servidor de RADIUS tiene información de aprovisionamiento independiente para las conexiones mantenimiento seguros y 3GPP. El nombre de usuario se toma de la información del certificado del cliente proporcionada en el serie SRX solicitud de autorización.

Si el servidor de RADIUS adquiere la información de aprovisionamiento del cliente desde un servidor DHCP, la información de identidad del cliente que se retransmite al servidor DHCP por el servidor RADIUS debe ser coherente con el cliente ICR la información de identidad transmitida al servidor de la RADIUS por The SRX Dispositivo serie. Esto garantiza la continuidad de la identidad del cliente en los distintos protocolos.

El canal de comunicación entre el dispositivo serie SRX y el servidor RADIUS está protegido por un RADIUS secreto compartido.

  1. Revise la configuración RADIUS para la VPN de pico 1 mantenimiento seguros. El servidor RADIUS tiene la siguiente información:

    Ejemplo de configuración de RADIUS en las versiones 12.3X48 y Junos OS de Junos OS versiones anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3 - S2 :

    Ejemplo de configuración FreeRADIUS:

    Ejemplo de configuración RADIUS a partir de Junos OS las versiones 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3 - S2:

    Ejemplo de configuración FreeRADIUS:

    En este caso, el servidor RADIUS proporciona la máscara de subred predeterminada (255.255.255.255), que bloquea el tráfico en el mismo nivel.

  2. Revise la configuración del RADIUS para la VPN 3GPP pico 1. El servidor RADIUS tiene la siguiente información:

    Ejemplo de configuración de RADIUS en las versiones 12.3X48 y Junos OS de Junos OS versiones anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3 - S2 :

    Ejemplo de configuración FreeRADIUS:

    Ejemplo de configuración RADIUS a partir de Junos OS las versiones 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3 - S2:

    Ejemplo de configuración FreeRADIUS:

    En este caso, el servidor RADIUS proporciona un valor de máscara de subred (255.255.0.0), lo que permite el tráfico dentro del mismo nivel.

    A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para las solicitudes de carga de configuración IKEv2 para una configuración ICR puerta de enlace. La contraseña común en un intervalo de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta contraseña se usa entre el dispositivo serie SRX y el servidor RADIUS cuando el dispositivo serie SRX solicita una dirección IP en nombre de un par IPsec remoto mediante carga de configuración IKEv2. RADIUS servidor coincide con los credenciales antes de que proporciona cualquier información IP al dispositivo de la serie SRX para la solicitud de carga de configuración. Puede configurar la contraseña común mediante una instrucción config-payload-password configured-password de configuración en el nivel de [edit security ike gateway gateway-name aaa access-profile access-profile-name] jerarquía. Además, en este ejemplo se crean dos túneles a partir del mismo certificado de cliente mediante el uso de diferentes partes del certificado para obtener información de nombre de usuario (ICR identidad).

Comproba

Confirme que la configuración funciona correctamente.

Verificación del estado de la fase 1 ICR para el serie SRX

Purpose

Compruebe el estado de la fase 1 ICR.

Intervención

Desde el modo operativo en el nodo 0, escriba el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice show security ike security-associations detail el comando.

Efectos

El show security ike security-associations comando enumera todas las sa de ICR Phase 1 activas con pico de celdas de Devices. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Este ejemplo muestra únicamente el ICR SA de Phase 1 para la VPN de mantenimiento seguros; sin embargo, aparecerá una SA de ICR Phase 1 que muestra los parámetros ICR Phase 1 para la VPN 3GPP.

Si las SA aparecen en la lista, revise la siguiente información:

  • Índice: este valor es único para cada ICR SA: puede utilizar el show security ike security-associations index detail comando para obtener más información acerca de la SA.

  • Dirección remota: compruebe que la dirección IP local es correcta y que el puerto 500 se está utilizando para la comunicación par a par.

  • Estado del contestador de roles:

    • Up: se estableció la SA de fase 1.

    • Abajo: se hubo un problema al establecer la SA de fase 1.

  • Id. de ICR par (remoto): compruebe que la información del certificado es correcta.

  • Identidad local e identidad remota: compruebe que estas direcciones son correctas.

  • Modo: compruebe que se está utilizando el modo correcto.

Compruebe que los siguientes elementos son correctos en su configuración:

  • Las interfaces externas (la interfaz debe ser la que envía los paquetes de ICR)

  • ICR parámetros de políticas

  • Parámetros de propuesta de la fase 1 (deben coincidir entre iguales)

El show security ike security-associations comando enumera la siguiente información adicional acerca de las asociaciones de seguridad:

  • Algoritmos de autenticación y de cifrado utilizados

  • Duración de la fase 1

  • Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas direcciones)

  • Información de funciones

    La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.

  • Información del iniciador y del respondedor

  • Número de SA de IPsec creadas

  • Número de negociaciones de fase 2 en curso

Comprobando las asociaciones de seguridad IPsec para el serie SRX

Purpose

Compruebe el estado de IPsec.

Intervención

Desde el modo operativo en el nodo 0, escriba el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice show security ipsec security-associations detail el comando.

Efectos

En este ejemplo se muestran las SA activas de ICR Phase 2 para pico 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de la directiva IPsec en su configuración. Para cada Asociación de fase 2 (mantenimiento seguros y 3GPP), la información se proporciona tanto en el sentido entrante como en el exterior. La salida del show security ipsec security-associations comando muestra la siguiente información:

  • La puerta de enlace remota tiene la dirección IP pág.

  • El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas direcciones. 3529/valor indica que la duración de la fase 2 caduca en 3529 segundos y que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.

  • La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica que la supervisión no está activa.

  • El sistema virtual (vsys) es el sistema raíz y siempre enumera 0.

El resultado anterior del show security ipsec security-associations index index_id detail comando muestra la siguiente información:

  • La identidad local y la identidad remota constituyen el ID. de proxy de la SA.

    Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta, el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.

  • Algoritmos de autenticación y de cifrado utilizados.

  • Parámetros de propuesta de la fase 2 (deben coincidir entre iguales).

  • Enlaces de túnel seguro (St 0.0 y St 0.1) a las puertas de enlace mantenimiento seguros y 3GPP.

ICR política de desarrollo con un sistema de AC

En este ejemplo se muestra cómo enlazar un servidor de CA de confianza a una directiva de ICR del elemento del mismo nivel.

Antes de comenzar, debe disponer de una lista de todas las entidades de certificación de confianza que desea asociar con la Directiva de ICR del interlocutor.

Puede asociar una directiva de ICR a un perfil único de CA de confianza o a un grupo de CA de confianza. Para establecer una conexión segura, la puerta de enlace de ICR usa la Directiva de ICR para limitarse al grupo configurado de entidades emisoras (perfiles de CA) mientras se valida el certificado. No se valida un certificado emitido por cualquier fuente distinta de la CA de confianza o el grupo de CA de confianza. Si hay una solicitud de validación de certificado procedente de una directiva de ICR, el perfil de CA asociado de la Directiva de ICR validará el certificado. Si una directiva de ICR no está asociada con ninguna entidad emisora de certificados, entonces, de forma predeterminada, el certificado será validado por cualquiera de los perfiles de CA configurados.

En este ejemplo, se crea un perfil root-ca de CA con el root-ca-identity nombre y se asocia a al perfil.

Puede configurar un máximo de 20 perfiles de CA que desee agregar a un grupo de CA de confianza. No puede confirmar su configuración si configura más de 20 perfiles de CA en un grupo de CA de confianza.

  1. Crear un perfil de CA y asociar un identificador de CA al perfil.
  2. Definir una propuesta de ICR y el método de autenticación de propuesta de ICR.
  3. Definir el grupo Diffie-Hellman, el algoritmo de autenticación, un algoritmo de cifrado para la propuesta de ICR.
  4. Configure una directiva de ICR y asocie la Directiva con la propuesta de ICR.
  5. Configure un identificador de certificado local para la Directiva ICR.
  6. Defina la entidad emisora de certificados que se utilizará para la Directiva de ICR.

Para ver los perfiles de CA y los grupos de CA de confianza configurados show security pki en su dispositivo, ejecute el comando.

El show security ike comando muestra el grupo de perfiles de CA bajo la directiva ike_policy ICR denominada y el certificado asociado a la Directiva de ICR.