VPN basada en rutas con IKEv2
El intercambio de claves por internet versión 2 (IKEv2) es un protocolo de tunelización basado en IPsec que proporciona un canal de comunicación VPN seguro entre dispositivos VPN pares y define la negociación y la autenticación para asociaciones de seguridad (SA) de IPsec de manera protegida.
Tabla 1 describe los valores IPsec Radius xAuth o CP.
| Atributo Radius | ID de atributo | Nombre de atributo | ID de proveedor (diccionario) | ID de atributo de proveedor | Valor de atributo | Tipo |
|---|---|---|---|---|---|---|
| Estándar | 8 | Dirección IP enmarcada | NA | NA | Dirección IP | Dirección IPv4 |
| Estándar | 88 | Grupo enmarcado | NA | NA | Nombre | Texto |
| Estándar | 100 | Grupo IPv6 enmarcado | NA | NA | Nombre | Texto |
| Proveedor | 26 | DNS principal | 4874 (Juniper ERX) | 4 | Dirección IP | Dirección IPv4 |
| Proveedor | 26 | DNS secundario | 4874 (Juniper ERX) | 5 | Dirección IP | Dirección IPv4 |
| Proveedor | 26 | VICTORIAS principales (NBNS) | 4874 (Juniper ERX) | 6 | Dirección IP | Dirección IPv4 |
| Proveedor | 26 | WINS secundarios (NBNS) | 4874 (Juniper ERX) | 7 | Dirección IP | Dirección IPv4 |
| Proveedor | 26 | DNS principal IPv6 | 4874 (Juniper ERX) | 47 | Dirección IP | hex-string o octetos |
| Proveedor | 26 | DNS secundario IPv6 | 4874 (Juniper ERX) | 48 | Dirección IP | hex-string o octetos |
Ejemplo: Configurar una VPN basada en rutas para IKEv2
En este ejemplo, se muestra cómo configurar una VPN IPsec basada en rutas para permitir que los datos se transfieran de forma segura entre una sucursal y una oficina corporativa.
Requisitos
En este ejemplo, se utiliza el siguiente hardware:
Dispositivo SRX240
Dispositivo SSG140
Antes de empezar, lea Descripción general de IPsec.
Descripción general
En este ejemplo, configura una VPN basada en rutas para una sucursal en Chicago, Illinois, ya que desea conservar los recursos de túnel, pero aún así obtener restricciones granulares en el tráfico de VPN. Los usuarios en la oficina de Chicago usarán la VPN para conectarse a sus sedes corporativas en Sunnyvale, California.
En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4, zonas de seguridad y libretas de direcciones. A continuación, configure la fase 1 de ICR, la fase 2 de IPsec, una política de seguridad y los parámetros TCP-MSS. Consulte Tabla 2 a través Tabla 6 para ver los parámetros de configuración específicos utilizados en este ejemplo.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaces |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
|
st0.0 (interfaz de túnel) |
10.11.11.10/24 |
|
Rutas estáticas |
0.0.0.0/0 (ruta predeterminada) |
El siguiente salto es 10.1.1.1. |
192.168.168.0/24 |
El siguiente salto es st0.0. |
|
Zonas de seguridad |
confianza |
|
Untrust |
|
|
vpn-chicago |
La interfaz st0.0 está vinculada a esta zona. |
|
Entradas de la libreta de direcciones |
Sunnyvale |
|
Chicago |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
propuesta de fase ike1 |
|
Política |
Política de ike-phase1 |
|
Gateway |
gw-chicago |
|
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Propuesta |
ipsec-phase2-proposal |
|
Política |
ipsec-phase2-policy |
|
VPN |
ipsec-vpn-chicago |
|
Propósito |
Nombre |
Parámetros de configuración |
|---|---|---|
La política de seguridad permite el tráfico desde la zona de confianza hasta la zona vpn-chicago. |
vpn-tr-chi |
|
La política de seguridad permite el tráfico desde la zona vpn-chicago hasta la zona de confianza. |
vpn-chi-tr |
|
Propósito |
Parámetros de configuración |
|---|---|
TCP-MSS se negocia como parte de la negociación de tres vías TCP y limita el tamaño máximo de un segmento TCP para adaptarse mejor a los límites de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de IPsec, junto con la sobrecarga de IP y trama, puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, lo que causa fragmentación. La fragmentación aumenta el ancho de banda y los recursos del dispositivo. Recomendamos un valor de 1350 como punto de partida para la mayoría de las redes basadas en Ethernet con una MTU de 1500 o superior. Es posible que deba experimentar con diferentes valores TCP-MSS para obtener un rendimiento óptimo. Por ejemplo, es posible que deba cambiar el valor si algún dispositivo de la ruta tiene una MTU menor o si hay alguna sobrecarga adicional, como PPP o Frame Relay. |
Valor de MSS: 1350 |
Configuración
- Configuración de la interfaz, la ruta estática, la zona de seguridad y la libreta de direcciones
- Configuración de ICR
- Configuración de IPsec
- Configuración de políticas de seguridad
- Configuración de TCP-MSS
- Configuración del dispositivo de la serie SSG
Configuración de la interfaz, la ruta estática, la zona de seguridad y la libreta de direcciones
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop st0.0 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust address-book address sunnyvale 192.168.10.0/24 set security zones security-zone vpn-chicago interfaces st0.0 set security zones security-zone vpn-chicago address-book address chicago 192.168.168.0/24
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar la información de interfaz, ruta estática, zona de seguridad y libreta de direcciones:
Configure la información de interfaz Ethernet.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@host# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Configure la información de ruta estática.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@host# set routing-options static route 192.168.168.0/24 next-hop st0.0
Configure la zona de seguridad de no confianza.
[edit ] user@host# edit security zones security-zone untrust
Asigne una interfaz a la zona de seguridad.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/3.0
Especifique los servicios del sistema permitidos para la zona de seguridad.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
Configure la zona de seguridad de confianza.
[edit] user@host# edit security zones security-zone trust
Asigne una interfaz a la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/0.0
Especifique los servicios del sistema permitidos para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
Configure la entrada de la libreta de direcciones para la zona de seguridad de confianza.
[edit security zones security-zone trust] user@host# set address-book address sunnyvale 192.168.10.0/24
Configure la zona de seguridad vpn-chicago.
[edit] user@host# edit security zones security-zone vpn-chicago
Asigne una interfaz a la zona de seguridad.
[edit security zones security-zone vpn-chicago] user@host# set interfaces st0.0
Configure la entrada de la libreta de direcciones para la zona VPN-chicago.
[edit security zones security-zone vpn-chicago] user@host# set address-book address chicago 192.168.168.0/24
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-optionsy show security zones para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
address-book {
address sunnyvale 192.168.10.0/24;
}
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
address-book {
address chicago 192.168.168.0/24;
}
}
interfaces {
st0.0;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de ICR
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-chicago external-interface ge-0/0/3.0 set security ike gateway gw-chicago ike-policy ike-phase1-policy set security ike gateway gw-chicago address 10.2.2.2 set security ike gateway gw-chicago version v2-only
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar ICR:
Cree la propuesta de fase 1 de ICR.
[edit security ike] user@host# set proposal ike-phase1-proposal
Defina el método de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@host# set authentication-method pre-shared-keys
Defina el grupo Diffie-Hellman de la propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@host# set dh-group group2
Defina el algoritmo de autenticación de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@host# set authentication-algorithm sha1
Defina el algoritmo de cifrado de propuesta de ICR.
[edit security ike proposal ike-phase1-proposal] user@host# set encryption-algorithm aes-128-cbc
Cree una política de fase 1 de ICR.
[edit security ike] user@host# set policy ike-phase1-policy
Especifique una referencia a la propuesta de ICR.
[edit security ike policy ike-phase1-policy] user@host# set proposals ike-phase1-proposal
Defina el método de autenticación de política de fase 1 de ICR.
[edit security ike policy ike-phase1-policy] user@host# set pre-shared-key ascii-text “$ABC123”
Cree una puerta de enlace de fase 1 de ICR y defina su interfaz externa.
[edit security ike] user@host# set gateway gw-chicago external-interface ge-0/0/3.0
Defina la referencia de política de fase 1 de ICR.
[edit security ike gateway gw-chicago] user@host# set ike-policy ike-phase1-policy
Defina la dirección de puerta de enlace de fase 1 de ICR.
[edit security ike gateway gw-chicago] user@host# set address 10.2.2.2
Defina la versión de puerta de enlace de fase 1 de ICR.
[edit security ike gateway gw-chicago] user@host# set version v2-only
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ike configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
version v2-only;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de IPsec
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn ipsec-vpn-chicago ike gateway gw-chicago set security ipsec vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy set security ipsec vpn ipsec-vpn-chicago bind-interface st0.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar IPsec:
Cree una propuesta de fase 2 de IPsec.
[edit] user@host# set security ipsec proposal ipsec-phase2-proposal
Especifique el protocolo de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set protocol esp
Especifique el algoritmo de autenticación de propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set authentication-algorithm hmac-sha1-96
Especifique el algoritmo de cifrado de la propuesta de fase 2 de IPsec.
[edit security ipsec proposal ipsec-phase2-proposal] user@host# set encryption-algorithm aes-128-cbc
Cree la política de fase 2 de IPsec.
[edit security ipsec] user@host# set policy ipsec-phase2-policy
Especifique la referencia de la propuesta de fase 2 de IPsec.
[edit security ipsec policy ipsec-phase2-policy] user@host# set proposals ipsec-phase2-proposal
Especifique PFS de fase 2 de IPsec para usar el grupo Diffie-Hellman 2.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Especifique la puerta de enlace de ICR.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago ike gateway gw-chicago
Especifique la política de fase 2 de IPsec.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago ike ipsec-policy ipsec-phase2-policy
Especifique la interfaz que se desea enlazar.
[edit security ipsec] user@host# set vpn ipsec-vpn-chicago bind-interface st0.0
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security ipsec configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn ipsec-vpn-chicago {
bind-interface st0.0;
ike {
gateway gw-chicago;
ipsec-policy ipsec-phase2-policy;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de políticas de seguridad
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match source-address sunnyvale set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match destination-address chicago set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match application any set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi then permit set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match source-address chicago set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match destination-address sunnyvale set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match application any set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr then permit
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar políticas de seguridad:
Cree la política de seguridad para permitir el tráfico desde la zona de confianza hasta la zona vpn-chicago.
[edit security policies from-zone trust to-zone vpn-chicago] user@host# set policy vpn-tr-chi match source-address sunnyvale user@host# set policy vpn-tr-chi match destination-address chicago user@host# set policy vpn-tr-chi match application any user@host# set policy vpn-tr-chi then permit
Cree la política de seguridad para permitir el tráfico desde la zona vpn-chicago hasta la zona de confianza.
[edit security policies from-zone vpn-chicago to-zone trust] user@host# set policy vpn-chi-tr match source-address sunnyvale user@host# set policy vpn-chi-tr match destination-address chicago user@host# set policy vpn-chi-tr match application any user@host# set policy vpn-chi-tr then permit
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone trust to-zone vpn-chicago {
policy vpn-tr-vpn {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit;
}
}
}
from-zone vpn-chicago to-zone trust {
policy vpn-tr-vpn {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de TCP-MSS
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set security flow tcp-mss ipsec-vpn mss 1350
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar la información de TCP-MSS:
Configure la información de TCP-MSS.
[edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show security flow configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del dispositivo de la serie SSG
Configuración rápida de CLI
Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más información acerca de cómo configurar dispositivos de la serie SSG, consulte , Concepts & Examples ScreenOS Reference Guideque se encuentra en https://www.juniper.net/documentation.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set zone name vpn-chicago set interface ethernet0/6 zone Trust set interface ethernet0/0 zone Untrust set interface tunnel.1 zone vpn-chicago set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address Trust “192.168.168-net” 192.168.168.0 255.255.255.0 set address vpn-chicago "192.168.10-net" 192.168.10.0 255.255.255.0 set ike gateway corp-ike address 10.1.1.2 IKEv2 outgoing-interface ethernet0/0 preshare 395psksecr3t sec-level standard set vpn corp-vpn gateway corp-ike replay tunnel idletime 0 sec-level standard set vpn corp-vpn monitor optimized rekey set vpn corp-vpn bind interface tunnel.1 set policy from Trust to Untrust “ANY” “ANY” “ANY” nat src permit set policy from Trust to vpn-chicago “192.168.168-net” “192.168.10-net” “ANY” permit set policy from vpn-chicago to Trust “192.168.10-net” “192.168.168-net” “ANY” permit set route 192.168.10.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Verificación
Confirme que la configuración funciona correctamente.
- Verificar el estado de fase 1 de ICR
- Verificar el estado de fase 2 de IPsec
- Revisión de estadísticas y errores para una asociación de seguridad IPsec
- Prueba del flujo de tráfico a través de la VPN
Verificar el estado de fase 1 de ICR
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a un host en la red 192.168.168/24. En el caso de vpn basadas en rutas, el firewall de la serie SRX puede iniciar tráfico a través del túnel. Recomendamos que, al probar túneles IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un lado de la VPN a un segundo dispositivo al otro lado de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.
Desde el modo operativo, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations index index_number detail comando.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 1 10.2.2.2 UP 744a594d957dd513 1e1307db82f58387 IKEv2
user@host> show security ike security-associations index 1 detail IKE peer 10.2.2.2, Index 1, Role: Responder, State: UP Initiator cookie: 744a594d957dd513, Responder cookie: 1e1307db82f58387 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 28570 seconds Algorithms: Authentication : sha1 Encryption : aes-cbc (128 bits) Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 852 Output bytes : 940 Input packets : 5 Output packets : 5 Flags: Caller notification sent IPSec security associations: 1 created, 0 deleted
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración.
Si se enumeran las SA, revise la siguiente información:
Índice: este valor es único para cada SA IKE, que puede utilizar en el
show security ike security-associations index detailcomando para obtener más información sobre la SA.Dirección remota: compruebe que la dirección IP remota sea correcta.
Estado
UP: se estableció la SA de fase 1.
ABAJO: hubo un problema al establecer la SA de fase 1.
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
Interfaces externas (la interfaz debe ser la que recibe paquetes IKE).
Parámetros de política de ICR.
Información de claves previamente compartidas.
Parámetros de propuesta de fase 1 (deben coincidir en ambos pares).
El show security ike security-associations index 1 detail comando enumera información adicional sobre la SA con un número de índice de 1:
Algoritmos de autenticación y cifrado utilizados
Vida útil de la fase 1
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
Información de funciones
La solución de problemas se realiza mejor en el par que usa la función de responder.
Información del iniciador y del respondedor
Número de SA de IPsec creadas
Verificar el estado de fase 2 de IPsec
Propósito
Verifique el estado de fase 2 de IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations index index_number detail comando.
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 76d64d1d 3363/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 a1024ee2 3363/ unlim - 0
user@host> show security ipsec security-associations index 16384 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2
Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
Version: IKEv2
DF-bit: clear
Direction: inbound, SPI: 1993755933, AUX-SPI: 0
Hard lifetime: Expires in 3352 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2775 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2701283042, AUX-SPI: 0
Hard lifetime: Expires in 3352 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2775 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc
(128 bits)
Anti-replay service: enabled, Replay window size: 32
Significado
El resultado del show security ipsec security-associations comando enumera la siguiente información:
El número de identificación es 16384. Use este valor con el
show security ipsec security-associations indexcomando para obtener más información sobre esta SA en particular.Hay un par SA IPsec que usa el puerto 500.
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 3363/ unlim indica que la vida útil de la fase 2 caduca en 3363 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
El vsys es el sistema raíz, y siempre se enumera como 0.
El IKEv2 permite conexiones desde un par de versión 2 e iniciará una negociación de la versión 2.
El resultado del show security ipsec security-associations index 16384 detail comando enumera la siguiente información:
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una de las causas más comunes de una falla de fase 2 es una discordancia del ID de proxy. Si no se muestra ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores externos, el ID de proxy se debe ingresar manualmente para que coincida.
Otra razón común para el error de fase 2 es no especificar el enlace de interfaz ST. Si IPsec no puede completarse, compruebe el registro de kmd o establezca las opciones de seguimiento.
Revisión de estadísticas y errores para una asociación de seguridad IPsec
Propósito
Revise los contadores y errores de esp y encabezados de autenticación para una SA IPsec.
Acción
Desde el modo operativo, ingrese el show security ipsec statistics index index_number comando, usando el número de índice de la VPN para la que desea ver estadísticas.
user@host> show security ipsec statistics index 16384 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
También puede usar el show security ipsec statistics comando para revisar estadísticas y errores de todas las SA.
Para borrar todas las estadísticas de IPsec, utilice el clear security ipsec statistics comando.
Significado
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics comando o show security ipsec statistics detail varias veces para confirmar que los contadores de paquetes cifrados y descifrados se están incrementando. También debe comprobar que los otros contadores de errores se están incrementando.
Prueba del flujo de tráfico a través de la VPN
Propósito
Verifique el flujo de tráfico a través de la VPN.
Acción
Puede usar el ping comando del firewall serie SRX para probar el flujo de tráfico a una PC de host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de políticas.
Desde el modo operativo, ingrese el ping comando.
ssg-> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
También puede usar el ping comando desde el dispositivo serie SSG.
user@host> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
Significado
Si el ping comando falla desde el dispositivo serie SRX o SSG, puede haber un problema con el enrutamiento, las políticas de seguridad, el host final o el cifrado y el descifrado de los paquetes ESP.
Ejemplo: Configuración de la serie SRX para el aprovisionamiento de celdas Pico con carga de configuración IKEv2
En redes en las que se despliegan muchos dispositivos, la gestión de la red debe ser sencilla. La función de carga de configuración de IKEv2 admite el aprovisionamiento de estos dispositivos sin tocar la configuración del dispositivo o la configuración de la serie SRX. En este ejemplo, se muestra cómo configurar una serie SRX para admitir el aprovisionamiento de celdas pico mediante la función de carga de configuración IKEv2.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Dos firewalls serie SRX configurados en un clúster de chasis
-
Un firewall serie SRX configurado como enrutador intermedio
-
Dos clientes de celda pico
-
Un servidor RADIUS configurado con información de aprovisionamiento de cliente pico cell
-
Junos OS versión 12.1X46-D10 o posterior para soporte de carga de configuración IKEv2
Descripción general
En este ejemplo, una serie SRX usa la función de carga de configuración IKEv2 para propagar la información de aprovisionamiento a una serie de celdas pico. Las celdas pico se envían de fábrica con una configuración estándar que les permite conectarse a la serie SRX, pero la información de aprovisionamiento de celdas pico se almacena en un servidor RADIUS externo. Las celdas pico reciben información completa de aprovisionamiento después de establecer conexiones seguras con servidores de aprovisionamiento en una red protegida. La carga de configuración de IKEv2 se admite tanto para IPv4 como para IPV6. En este ejemplo, se trata la carga de configuración de IKEv2 para IPv4, sin embargo, también puede configurar con direcciones IPv6.
A partir de Junos OS versión 20.3R1, somos compatibles con la carga de configuración IKEv2 IPv6 para asignar dirección IPv6 en la línea SRX5000 que ejecuta el proceso iked. La misma compatibilidad se incluye en el firewall virtual vSRX que ejecuta el proceso de iked a partir de Junos OS versión 21.1R1.
Figura 1 muestra una topología en la que la serie SRX admite el aprovisionamiento de celdas pico mediante la función de carga de configuración IKEv2.
Cada celda pico de esta topología inicia dos VPN IPsec: uno para la administración y otro para los datos. En este ejemplo, el tráfico de administración usa el túnel etiquetado como túnel OAM, mientras que el tráfico de datos fluye a través del túnel etiquetado como túnel 3GPP. Cada túnel admite conexiones con servidores de aprovisionamiento OAM y 3GPP en redes independientes y configurables, lo que requiere instancias de enrutamiento y VPN independientes. En este ejemplo, se proporcionan las opciones de fase 1 y fase 2 de ICR para establecer las VPN de OAM y 3GPP.
En este ejemplo, la serie SRX actúa como el servidor de carga de configuración IKEv2, adquiriendo información de aprovisionamiento del servidor RADIUS y proporcionando esa información a los clientes de celda pico. La serie SRX devuelve la información de aprovisionamiento para cada cliente autorizado en la carga de configuración de IKEv2 durante la negociación de túnel. La serie SRX no se puede utilizar como dispositivo cliente.
Además, la serie SRX usa la información de carga de configuración de IKEv2 para actualizar los valores del iniciador del selector de tráfico (TSi) y del respondedor del selector de tráfico (TSr) intercambiados con el cliente durante la negociación del túnel. La carga de configuración usa los valores TSi y TSr que se configuran en la serie SRX mediante la proxy-identity instrucción en el nivel de jerarquía [edit security ipsec vpn vpn-name ike]. Los valores TSi y TSr definen el tráfico de red para cada VPN.
El enrutador intermedio enruta el tráfico de celdas pico a las interfaces adecuadas de la serie SRX.
El siguiente proceso describe la secuencia de conexión:
-
La celda pico inicia un túnel IPsec con la serie SRX mediante la configuración de fábrica.
-
La serie SRX autentica al cliente mediante la información del certificado de cliente y el certificado raíz de la CA que está inscrita en la serie SRX. Después de la autenticación, la serie SRX pasa la información de identidad de IKE del certificado de cliente al servidor RADIUS en una solicitud de autorización.
-
Después de autorizar el cliente, el servidor RADIUS responde a la serie SRX con la información de aprovisionamiento del cliente:
-
Dirección IP (valor TSi)
-
Máscara de subred IP (opcional; el valor predeterminado es de 32 bits)
-
Dirección DNS (opcional)
-
-
La serie SRX devuelve la información de aprovisionamiento en la carga de configuración de IKEv2 para cada conexión de cliente e intercambia los valores finales de TSi y TSr con las celdas pico. En este ejemplo, la serie SRX proporciona la siguiente información de TSi y TSr para cada VPN:
Conexión VPN
Valores TSi/TSr proporcionados por SRX
Pico 1 OAM
Eti: 10.12.1.201/32, TSr: 192.168.2.0/24
Pico 1 3GPP
Eti: 10.13.1.201/32, TSr: 192.168. 3.0/24, TSr: 10.13.0.0/16
Pico 2 OAM
Eti: 10.12.1.205/32, TSr: 192.168.2.0/24
Pico 2 3GPP
Eti: 10.13.1.205/32, TSr: 192.168. 3.0/24, TSr: 10.13.0.0/16
Si la información de aprovisionamiento proporcionada por el servidor RADIUS incluye una máscara de subred, la serie SRX devuelve un segundo valor TSr para la conexión del cliente que incluye la subred IP. Esto permite la comunicación intrapeer para dispositivos en esa subred. En este ejemplo, la comunicación intrapeer está habilitada para la subred asociada con la VPN 3GPP (13.13.0.0/16).
La función de carga de configuración IKEv2 es compatible con las interfaces de túnel seguro de punto a multipunto (st0) y las interfaces de punto a punto. En el caso de las interfaces de punto a multipunto, las interfaces deben estar numeradas y las direcciones proporcionadas en la carga de configuración deben estar dentro del intervalo de subredes de la interfaz de punto a multipunto asociada.
A partir de junos OS versión 20.1R1, somos compatibles con la función de carga de configuración IKEv2 con interfaces punto a punto en la línea SRX5000 y firewall virtual vSRX que se ejecuta iked.
Tabla 7 muestra las opciones de fase 1 y fase 2 configuradas en la serie SRX, incluida la información para establecer túneles OAM y 3GPP.
|
Option |
valor |
|---|---|
| Propuesta de ICR: | |
|
Nombre de la propuesta |
IKE_PROP |
|
Método de autenticación |
Certificados digitales RSA |
|
Grupo Diffie-Hellman (DH) |
grupo5 |
|
Algoritmo de autenticación |
SHA-1 |
|
Algoritmo de cifrado |
AES 256 CBC |
| Política de ICR: | |
|
Nombre de la política de ICR |
IKE_POL |
|
Certificado local |
Example_SRX |
| Puerta de enlace de ICR (OAM): | |
|
Política de ICR |
IKE_POL |
|
Dirección IP remota |
Dinámica |
|
Tipo de usuario de ICR |
group-ike-id |
|
Local IKE ID |
nombre de host srx_series.example.net |
|
ID de IKE remoto |
nombre de host .pico_cell.net |
|
Interfaz externa |
reth0.0 |
|
Perfil de acceso |
radius_pico |
|
Versión de ICR |
v2-only |
| Puerta de enlace de ICR (3GPP): | |
|
Política de ICR |
IKE_POL |
|
Dirección IP remota |
Dinámica |
|
Tipo de usuario de ICR |
group-ike-id |
|
Local IKE ID |
comodín de nombre distinguido OU=srx_series |
|
ID de IKE remoto |
comodín de nombre distinguido OU=pico_cell |
|
Interfaz externa |
reth1 |
|
Perfil de acceso |
radius_pico |
|
Versión de ICR |
v2-only |
| Propuesta de IPsec: | |
|
Nombre de la propuesta |
IPSEC_PROP |
|
Protocolo |
ESP |
|
Algoritmo de autenticación |
HMAC SHA-1 96 |
|
Algoritmo de cifrado |
AES 256 CBC |
| Política de IPsec: | |
|
Nombre de la política |
IPSEC_POL |
|
Claves de confidencialidad directa perfecta (PFS) |
grupo5 |
|
Propuestas de IPsec |
IPSEC_PROP |
| VPN IPsec (OAM): | |
|
Interfaz de enlace |
st0.0 |
|
Puerta de enlace de ICR |
OAM_GW |
|
Identidad de proxy local |
192.168.2.0/24 |
|
Identidad de proxy remota |
0.0.0.0/0 |
|
Política IPsec |
IPSEC_POL |
| VPN IPsec (3GPP): | |
|
Interfaz de enlace |
st0.1 |
|
Puerta de enlace de ICR |
3GPP_GW |
|
Identidad de proxy local |
192.168. 3.0/24 |
|
Identidad de proxy remota |
0.0.0.0/0 |
|
Política IPsec |
IPSEC_POL |
Los certificados se almacenan en las celdas pico y en la serie SRX.
En este ejemplo, se utiliza la política de seguridad predeterminada que permite todo el tráfico para todos los dispositivos. Se deben configurar políticas de seguridad más restrictivas para entornos de producción. Consulte Descripción general de las políticas de seguridad.
Configuración
- Configuración de la serie SRX
- Configuración del enrutador intermedio
- Configuración de la celda Pico (configuración de ejemplo)
- Configuración del servidor RADIUS (configuración de ejemplo con un FreeRADIUS)
Configuración de la serie SRX
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set chassis cluster reth-count 5 set chassis cluster node 0 set chassis cluster node 1 set chassis cluster redundancy-group 0 node 0 priority 250 set chassis cluster redundancy-group 0 node 1 priority 150 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-3/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/2/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/2/0 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-3/2/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/2/1 weight 255 set interfaces ge-3/0/0 gigether-options redundant-parent reth0 set interfaces ge-3/0/1 gigether-options redundant-parent reth1 set interfaces ge-3/2/0 gigether-options redundant-parent reth2 set interfaces ge-3/2/1 gigether-options redundant-parent reth3 set interfaces ge-8/0/0 gigether-options redundant-parent reth0 set interfaces ge-8/0/1 gigether-options redundant-parent reth1 set interfaces ge-8/2/0 gigether-options redundant-parent reth2 set interfaces ge-8/2/1 gigether-options redundant-parent reth3 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 10.2.2.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.3.3.1/24 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth2 unit 0 family inet address 192.168.2.20/24 set interfaces reth3 redundant-ether-options redundancy-group 1 set interfaces reth3 unit 0 family inet address 192.168.3.20/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.12.1.20/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 10.13.1.20/24 set routing-options static route 10.1.0.0/16 next-hop 10.2.2.253 set routing-options static route 10.5.0.0/16 next-hop 10.2.2.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone oam-trust host-inbound-traffic system-services all set security zones security-zone oam-trust host-inbound-traffic protocols all set security zones security-zone oam-trust interfaces reth2.0 set security zones security-zone oam-trust interfaces st0.0 set security zones security-zone 3gpp-trust host-inbound-traffic system-services all set security zones security-zone 3gpp-trust host-inbound-traffic protocols all set security zones security-zone 3gpp-trust interfaces reth3.0 set security zones security-zone 3gpp-trust interfaces st0.1 set access profile radius_pico authentication-order radius set access profile radius_pico radius-server 192.168.2.22 secret "$ABC123" set access profile radius_pico radius-server 192.168.2.22 routing-instance VR-OAM set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate example_SRX set security ike gateway OAM_GW ike-policy IKE_POL set security ike gateway OAM_GW dynamic hostname .pico_cell.net set security ike gateway OAM_GW dynamic ike-user-type group-ike-id set security ike gateway OAM_GW local-identity hostname srx_series.example.net set security ike gateway OAM_GW external-interface reth0.0 set security ike gateway OAM_GW aaa access-profile radius_pico set security ike gateway OAM_GW version v2-only set security ike gateway 3GPP_GW ike-policy IKE_POL set security ike gateway 3GPP_GW dynamic distinguished-name wildcard OU=pico_cell set security ike gateway 3GPP_GW dynamic ike-user-type group-ike-id set security ike gateway 3GPP_GW local-identity distinguished-name wildcard OU=srx_series set security ike gateway 3GPP_GW external-interface reth1.0 set security ike gateway 3GPP_GW aaa access-profile radius_pico set security ike gateway 3GPP_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec proposal IPSEC_PROP lifetime-seconds 300 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn OAM_VPN bind-interface st0.0 set security ipsec vpn OAM_VPN ike gateway OAM_GW set security ipsec vpn OAM_VPN ike proxy-identity local 192.168.2.0/24 set security ipsec vpn OAM_VPN ike proxy-identity remote 0.0.0.0/0 set security ipsec vpn OAM_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn 3GPP_VPN bind-interface st0.1 set security ipsec vpn 3GPP_VPN ike gateway 3GPP_GW set security ipsec vpn 3GPP_VPN ike proxy-identity local 192.168.3.0/24 set security ipsec vpn 3GPP_VPN ike proxy-identity remote 0.0.0.0/0 set security ipsec vpn 3GPP_VPN ike ipsec-policy IPSEC_POL set routing-instances VR-OAM instance-type virtual-router set routing-instances VR-OAM interface reth2.0 set routing-instances VR-OAM interface st0.0 set routing-instances VR-3GPP instance-type virtual-router set routing-instances VR-3GPP interface reth3.0 set routing-instances VR-3GPP interface st0.1 set security policies default-policy permit-all
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar la serie SRX:
-
Configure el clúster de chasis.
[edit chassis cluster] user@host# set reth-count 5 user@host# set node 0 user@host# set node 1 user@host#set redundancy-group 0 node 0 priority 250 user@host#set redundancy-group 0 node 1 priority 150 user@host#set redundancy-group 1 node 0 priority 220 user@host#set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-3/0/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/2/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/2/0 weight 255 user@host# set redundancy-group 1 interface-monitor ge-3/2/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/2/1 weight 255
-
Configure interfaces.
[edit interfaces] user@host# set ge-3/0/0 gigether-options redundant-parent reth0 user@host# set ge-3/0/1 gigether-options redundant-parent reth1 user@host# set ge-3/2/0 gigether-options redundant-parent reth2 user@host# set ge-3/2/1 gigether-options redundant-parent reth3 user@host# set ge-8/0/0 gigether-options redundant-parent reth0 user@host# set ge-8/0/1 gigether-options redundant-parent reth1 user@host# set ge-8/2/0 gigether-options redundant-parent reth2 user@host# set ge-8/2/1 gigether-options redundant-parent reth3 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 10.2.2.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 10.3.3.1/24 user@host# set reth2 redundant-ether-options redundancy-group 1 user@host# set reth2 unit 0 family inet address 192.168.2.20/24 user@host# set reth3 redundant-ether-options redundancy-group 1 user@host# set reth3 unit 0 family inet address 192.169.3.20/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.12.1.20/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 10.13.1.20/24
-
Configure las opciones de enrutamiento.
[edit routing-options] user@host# set static route 10.1.0.0/16 next-hop 10.2.2.253 user@host# set static route 10.5.0.0/16 next-hop 10.2.2.253
-
Especifique zonas de seguridad.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces reth0.0 user@host# set interfaces reth1.0 [edit security zones security-zone oam-trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth2.0 user@host# set interfaces st0.0 [edit security zones security-zone 3gpp-trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth3.0 user@host# set interfaces st0.1
-
Cree el perfil RADIUS.
[edit access profile radius_pico] user@host# set authentication-order radius user@host# set radius-server 192.168.2.22 secret “$ABC123” user@host# set radius-server 192.168.2.22 routing-instance VR-OAM
-
Configure las opciones de fase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate example_SRX [edit security ike gateway OAM_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname .pico_cell.net user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity hostname srx.example.net user@host# set external-interface reth0.0 user@host# set aaa access-profile radius_pico user@host# set version v2-only [edit security ike gateway 3GPP_GW] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=pico_cell user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name wildcard OU=srx_series user@host# set external-interface reth1.0 user@host# set aaa access-profile radius_pico user@host# set version v2-only
-
Especifique las opciones de fase 2.
[edit set security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 300 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn OAM_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway OAM_GW user@host# set ike proxy-identity local 192.168.2.0/24 user@host# set ike proxy-identity remote 0.0.0.0/0 user@host# set ike ipsec-policy IPSEC_POL [edit security ipsec vpn 3GPP_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway 3GPP_GW user@host# set ike proxy-identity local 192.168.3.0/24 user@host# set ike proxy-identity remote 0.0.0.0/0 user@host# set ike ipsec-policy IPSEC_POL
-
Especifique las instancias de enrutamiento.
[edit routing-instances VR-OAM] user@host# set instance-type virtual router user@host# set interface reth2.0 user@host# set interface st0.0 [edit routing-instances VR-3GPP] user@host# set instance-type virtual router user@host# set interface reth3.0 user@host# set interface st0.1
-
Especifique políticas de seguridad para permitir el tráfico de sitio a sitio.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, ingrese los comandos , show interfaces, show routing-instancesshow security zonesshow security policiesshow access profile radius_picoshow security ipsecshow security ikey para confirmar la show chassis clusterconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show chassis cluster
reth-count 5
node 0
node 1
redundancy-group 0{
node 0 priority 250;
node 1 priority 150;
redundancy-group 1 {
node 0 priority 220;
node 1 priority 149;
interface-monitor {
ge-3/0/0 weight 255;
ge-8/0/0 weight 255;
ge-3/0/1 weight 255;
ge-8/0/1 weight 255;
ge-3/2/0 weight 255;
ge-8/2/0 weight 255;
ge-3/2/1 weight 255;
ge-8/2/1 weight 255;
}
}
[edit]
user@host# show interfaces
ge-3/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-3/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-3/2/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-3/2/1 {
gigether-options {
redundant-parent reth3;
}
}
ge-8/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/2/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-8/2/1 {
gigether-options {
redundant-parent reth3;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.2.2.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.3.3.1/24;
}
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.2.20/24;
}
}
}
reth3 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.3.20/24;
}
}
}
st0 {
unit 0{
multipoint;
family inet {
address 12.12.1.20/24;
}
}
unit 1{
multipoint;
family inet {
address 13.13.1.20/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.1.0.0/16 next-hop 10.2.2.253;
route 10.5.0.0/16 next-hop 10.2.2.253;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
reth0.0;
}
}
security-zone oam-trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth2.0;
st0.0;
}
}
security-zone 3gpp-trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth3.0;
st0.1;
}
}
[edit]
user@host# show access profile radius_pico
authentication-order radius;
radius-server {
192.168.2.22 {
secret "$ABC123";
routing-instance VR-OAM;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate example_SRX;
}
}
gateway OAM_GW {
ike-policy IKE_POL;
dynamic {
hostname .pico_cell.net;
ike-user-type group-ike-id;
}
local-identity hostname srx_series.example.net;
external-interface reth0.0;
aaa access-profile radius_pico;
version v2-only;
}
gateway 3GPP_GW {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=pico_cell;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface reth1.0;
aaa access-profile radius_pico;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
lifetime-seconds 300;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn OAM_VPN {
bind-interface st0.0;
ike {
gateway OAM_GW;
proxy-identity {
local 192.168.2.0/24;
remote 0.0.0.0/0;
}
ipsec-policy IPSEC_POL;
}
}
vpn 3GPP_VPN {
bind-interface st0.1;
ike {
gateway 3GPP_GW;
proxy-identity {
local 192.168.3.0/24;
remote 0.0.0.0/0;
}
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show routing-instances
VR-OAM {
instance-type virtual-router;
interface reth2.0;
interface st0.0;
}
VR-3GPP {
instance-type virtual-router;
interface reth3.0;
interface st0.1;
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración del enrutador intermedio
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.253/24 set interfaces ge-0/0/2 unit 0 family inet address 10.5.5.253/24 set interfaces ge-0/0/14 unit 0 family inet address 10.3.3.253/24 set interfaces ge-0/0/15 unit 0 family inet address 10.2.2.253/24 set routing-options static route 192.168.3.0/24 next-hop 10.2.2.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/14.0 set security zones security-zone trust interfaces ge-0/0/15.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security policies default-policy permit-all
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar el enrutador intermedio:
-
Configure interfaces.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.1.1.253/24 user@host# set ge-0/0/2 unit 0 family inet address 10.5.5.253/24 user@host# set ge-0/0/14 unit 0 family inet address 10.3.3.253/24 user@host# set ge-0/0/15 unit 0 family inet address 10.2.2.253/24
-
Configure las opciones de enrutamiento.
[edit routing-options] user@host# set static route 192.168.3.0/24 next-hop 10.2.2.1
-
Especifique zonas de seguridad.
[edit security zones security-zone trust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces ge-0/0/14.0 user@host# set interfaces ge-0/0/15.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0
-
Especifique políticas de seguridad.
[edit security policies] user@host# set default-policy permit-all
Resultados
Desde el modo de configuración, ingrese los comandos , show routing-options, show security zonesy show security policies para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.1.253/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 10.5.5.253/24;
}
}
}
ge-0/0/14 {
unit 0 {
family inet {
address 10.3.3.253/24;
}
}
}
ge-0/0/15 {
unit 0 {
family inet {
address 10.2.2.253/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.168.3.0/24 next-hop 10.2.2.1;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/14.0;
ge-0/0/15.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
ge-0/0/2.0;
}
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de la celda Pico (configuración de ejemplo)
Procedimiento paso a paso
La información de celdas pico de este ejemplo se proporciona como referencia. La información detallada de configuración de celdas pico está fuera del alcance de este documento. La configuración de fábrica de celdas pico debe incluir la siguiente información:
-
Certificado local (X.509v3) e información de identidad IKE
-
Valores del selector de tráfico (TSi, TSr) establecidos en cualquiera o cualquier (0.0.0.0/0)
-
Información de identidad IKE de la serie SRX y dirección IP pública
-
Propuestas de fase 1 y fase 2 que coincidan con la configuración de la serie SRX
Las celdas pico de este ejemplo usan el software de código abierto strongSwan para conexiones VPN basadas en IPsec. La serie SRX utiliza esta información para el aprovisionamiento de celdas pico mediante la función de carga de configuración IKEv2. En redes en las que se implementan muchos dispositivos, la configuración de la celda pico puede ser idéntica, excepto para la información del certificado (leftcert) y la información de identidad (leftid). Las siguientes configuraciones de ejemplo ilustran la configuración de fábrica.
-
Revise la configuración de Pico 1:
Pico 1: Configuración de ejemplo
conn %default ikelifetime=8h keylife=1h rekeymargin=1m keyingtries=1 keyexchange=ikev2 authby=pubkey mobike=no conn oam left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=pico1.pico_cell.net leftfirewall=yes reauth=yes right=10.2.2.1/24 rightid=srx_series.example.net rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add conn 3gpp left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1” leftfirewall=yes reauth=yes right=10.3.3.1/24 rightid=”OU=srx_series” rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add -
Revise la configuración de Pico 2:
Configuración de ejemplo de Pico 2
conn %default ikelifetime=8h keylife=1h rekeymargin=1m keyingtries=1 keyexchange=ikev2 authby=pubkey mobike=no conn oam left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=pico2.pico_cell.net leftfirewall=yes #reauth=no right=10.2.2.1/24 rightid=srx_series.example.net rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add conn 3gpp left=%any leftsourceip=%config leftcert=/usr/local/etc/ipsec.d/certs/<cert_name> leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico2” leftfirewall=yes #reauth=no right=10.3.3.1/24 rightid=”OU=srx_series” rightsubnet=0.0.0.0/0 #peer net for proxy id ike=aes256-sha-modp1536! esp=aes256-sha-modp1536! auto=add
Configuración del servidor RADIUS (configuración de ejemplo con un FreeRADIUS)
Procedimiento paso a paso
La información del servidor RADIUS de este ejemplo se proporciona como referencia. La información completa de configuración del servidor RADIUS está fuera del alcance de este documento. El servidor RADIUS devuelve la siguiente información a la serie SRX:
-
Dirección IP enmarcada
-
Máscara de red IP enmarcada (opcional)
-
DNS principal y DNS secundario (opcional)
En este ejemplo, el servidor RADIUS tiene información de aprovisionamiento independiente para las conexiones OAM y 3GPP. El nombre de usuario se toma de la información del certificado de cliente proporcionada en la solicitud de autorización serie SRX.
Si el servidor RADIUS adquiere información de aprovisionamiento de cliente de un servidor DHCP, la información de identidad del cliente transmitida al servidor DHCP por el servidor RADIUS debe ser coherente con la información de identidad de IKE del cliente transmitida al servidor RADIUS por el firewall de la serie SRX. Esto garantiza la continuidad de la identidad del cliente en los distintos protocolos.
El canal de comunicación entre el firewall de la serie SRX y el servidor RADIUS está protegido por un secreto compartido RADIUS.
-
Revise la configuración RADIUS para pico 1 OAM VPN. El servidor RADIUS tiene la siguiente información:
Configuración RADIUS de ejemplo en las versiones 12.3X48 y Junos OS anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:
Ejemplo de configuración de FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper" Service-Type = Framed-User, Framed-IP-Address = 10.12.1.201, Framed-IP-Netmask = 255.255.255.255, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,Configuración RADIUS de ejemplo a partir de las versiones de Junos OS 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:
Ejemplo de configuración de FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept" Service-Type = Framed-User, Framed-IP-Address = 10.12.1.201, Framed-IP-Netmask = 255.255.255.255, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,En este caso, el servidor RADIUS proporciona la máscara de subred predeterminada (255.255.255.255), que bloquea el tráfico de intrapeer.
-
Revise la configuración RADIUS para la VPN Pico 3GPP de Pico 1. El servidor RADIUS tiene la siguiente información:
Configuración RADIUS de ejemplo en las versiones 12.3X48 y Junos OS anteriores a 15.1X49-D160, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:
Ejemplo de configuración de FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Cleartext-Password := "juniper" Service-Type = Framed-User, Framed-IP-Address = 10.13.1.201.10, Framed-IP-Netmask = 255.255.0.0, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,Configuración RADIUS de ejemplo a partir de las versiones de Junos OS 15.X49-D161, 15.1X49-D170, 17.3R3, 17.4R2, 18.1R3, 18.2R2, 18.3R1 y 18.1R3-S2:
Ejemplo de configuración de FreeRADIUS:
DEFAULT User-Name =~ "device@example.net", Auth-Type := "Accept" Service-Type = Framed-User, Framed-IP-Address = 10.13.1.201.10, Framed-IP-Netmask = 255.255.0.0, Primary-Dns = 192.168.2.104, Secondary-Dns = 192.168.2.106,En este caso, el servidor RADIUS proporciona un valor de máscara de subred (255.255.0.0), que permite el tráfico intrapeer.
A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para solicitudes de carga de configuración de IKEv2 para una configuración de puerta de enlace de IKE. La contraseña común en el rango de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta contraseña se utiliza entre el firewall de la serie SRX y el servidor RADIUS cuando el firewall serie SRX solicita una dirección IP en nombre de un par IPsec remoto mediante la carga de configuración IKEv2. El servidor RADIUS valida las credenciales antes de proporcionar información ip al firewall serie SRX para la solicitud de carga de configuración. Puede configurar la contraseña común mediante
config-payload-password configured-passwordla instrucción de configuración en el[edit security ike gateway gateway-name aaa access-profile access-profile-name]nivel de jerarquía. Además, en este ejemplo se crean dos túneles desde el mismo certificado de cliente mediante el uso de diferentes partes del certificado para la información de nombre de usuario (identidad IKE).
Verificación
Confirme que la configuración funciona correctamente.
- Verificar el estado de fase 1 de ICR para la serie SRX
- Verificar asociaciones de seguridad IPsec para la serie SRX
Verificar el estado de fase 1 de ICR para la serie SRX
Propósito
Verifique el estado de fase 1 de ICR.
Acción
Desde el modo operativo en el nodo 0, ingrese el show security ike security-associations comando. Después de obtener un número de índice del comando, utilice el show security ike security-associations detail comando.
user@host# show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 553329718 UP 99919a471d1a5278 3be7c5a49172e6c2 IKEv2 10.1.1.1 1643848758 UP 9e31d4323195a195 4d142438106d4273 IKEv2 10.1.1.1
user@host# show security ike security-associations index 553329718 detail node0: -------------------------------------------------------------------------- IKE peer 10.1.1.1, Index 553329718, Gateway Name: OAM_GW Location: FPC 2, PIC 0, KMD-Instance 1 Role: Responder, State: UP Initiator cookie: 99919a471d1a5278, Responder cookie: 3be7c5a49172e6c2 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 10.2.2.1:500, Remote: 10.1.1.1:500 Lifetime: Expires in 28738 seconds Peer ike-id: C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1 aaa assigned IP: 10.12.1.201 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2104 Output bytes : 425 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
Significado
El show security ike security-associations comando enumera todas las SA de fase 1 de IKE activas con dispositivos de celdas pico. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 1. Compruebe los parámetros de política de ICR y la configuración de interfaz externa en su configuración. En este ejemplo, solo se muestra la SA de fase 1 de IKE para la VPN de OAM; sin embargo, se mostrará una SA de fase 1 de IKE independiente que muestra los parámetros de fase 1 de IKE para la VPN 3GPP.
Si se enumeran las SA, revise la siguiente información:
-
Índice: este valor es único para cada SA de IKE: puede usar el
show security ike security-associations index detailcomando para obtener más información sobre la SA. -
Dirección remota: compruebe que la dirección IP local sea correcta y que el puerto 500 se esté utilizando para la comunicación par a par.
-
Estado de función de respuesta:
-
Ascendente: se estableció la SA de fase 1.
-
Abajo: hubo un problema al establecer la SA de fase 1.
-
-
ID de IKE par (remoto): compruebe que la información del certificado es correcta.
-
Identidad local e identidad remota: compruebe que estas direcciones son correctas.
-
Modo: compruebe que se está utilizando el modo correcto.
Compruebe que los siguientes elementos son correctos en su configuración:
-
Interfaces externas (la interfaz debe ser la que envía paquetes IKE)
-
Parámetros de política de ICR
-
Parámetros de propuesta de fase 1 (deben coincidir entre pares)
El show security ike security-associations comando enumera la siguiente información adicional acerca de las asociaciones de seguridad:
-
Algoritmos de autenticación y cifrado utilizados
-
Vida útil de la fase 1
-
Estadísticas de tráfico (se pueden utilizar para verificar que el tráfico fluye correctamente en ambas direcciones)
-
Información de funciones
La solución de problemas se realiza mejor en el par que usa la función de responder.
-
Información del iniciador y del respondedor
-
Número de SA de IPsec creadas
-
Número de negociaciones de fase 2 en curso
Verificar asociaciones de seguridad IPsec para la serie SRX
Propósito
Compruebe el estado de IPsec.
Acción
Desde el modo operativo en el nodo 0, ingrese el show security ipsec security-associations comando. Después de obtener un número de índice del comando, utilice el show security ipsec security-associations detail comando.
user@host# show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <214171651 ESP:aes-cbc-256/sha1 cc2869e2 3529/ - root 500 10.1.1.1 >214171651 ESP:aes-cbc-256/sha1 c0a54936 3529/ - root 500 10.1.1.1 <205520899 ESP:aes-cbc-256/sha1 84e49026 3521/ - root 500 10.1.1.1 >205520899 ESP:aes-cbc-256/sha1 c4ed1849 3521/ - root 500 10.1.1.1
user@host# show security ipsec security-associations detail
node0:
--------------------------------------------------------------------------
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x604a29
Last Tunnel Down Reason: SA not initiated
ID: 214171651 Virtual-system: root, VPN Name: 3GPP_VPN
Local Gateway: 10.3.3.1, Remote Gateway: 10.1.1.1
Local Identity: list(any:0,ipv4_subnet(any:0-65535,[0..7]=192.168.3.0/24), ipv4_subnet(any:0-65535,[0..7]=10.13.0.0/16))
Remote Identity: ipv4(any:0,[0..3]=10.13.1.201)
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29
Last Tunnel Down Reason: SA not initiated
Location: FPC 6, PIC 0, KMD-Instance 2
Direction: inbound, SPI: cc2869e2, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3523 seconds
Lifesize Remaining:
Soft lifetime: Expires in 2965 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Location: FPC 6, PIC 0, KMD-Instance 2
Direction: outbound, SPI: c0a54936, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3523 seconds
Lifesize Remaining:
Soft lifetime: Expires in 2965 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
ID: 205520899 Virtual-system: root, VPN Name: OAM_VPN
Local Gateway: 10.2.2.1, Remote Gateway: 10.1.1.1
Local Identity: ipv4_subnet(any:0-65535,[0..7]=192.168.2.0/24)
Remote Identity: ipv4(any:0,[0..3]=10.12.1.201)
Version: IKEv2
DF-bit: clear
Bind-interface: st0.0
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29
Last Tunnel Down Reason: SA not initiated
Location: FPC 2, PIC 0, KMD-Instance 1
Direction: inbound, SPI: 84e49026, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3515 seconds
Lifesize Remaining:
Soft lifetime: Expires in 2933 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Location: FPC 2, PIC 0, KMD-Instance 1
Direction: outbound, SPI: c4ed1849, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3515 seconds
Lifesize Remaining:
Soft lifetime: Expires in 2933 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Significado
En estos ejemplos, se muestran las SA de fase 2 de IKE activas para Pico 1. Si no se enumeran las SA, hubo un problema con el establecimiento de fase 2. Compruebe los parámetros de política IPsec en su configuración. Para cada SA de fase 2 (OAM y 3GPP), se proporciona información tanto en la dirección de entrada como de salida. El resultado del show security ipsec security-associations comando enumera la siguiente información:
-
La puerta de enlace remota tiene una dirección IP de 10.1.1.1.
-
Las SPIs, la vida útil (en segundos) y los límites de uso (o tamaño de vida en KB) se muestran para ambas direcciones. El valor 3529/ indica que la vida útil de la fase 2 caduca en 3529 segundos y que no se ha especificado ningún salvavidas, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de la duración de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN esté activa.
-
La supervisión de VPN no está habilitada para esta SA, como indica un guión en la columna Mon. Si la supervisión de VPN está habilitada, U indica que la supervisión está activa y D indica que la supervisión está desactivada.
-
El sistema virtual (vsys) es el sistema raíz, y siempre enumera 0.
El resultado anterior del show security ipsec security-associations index index_id detail comando enumera la siguiente información:
-
La identidad local y la identidad remota constituyen el ID de proxy para la SA.
Una de las causas más comunes de una falla de fase 2 es una discordancia del ID de proxy. Si no se muestra ninguna SA de IPsec, confirme que las propuestas de fase 2, incluida la configuración del ID de proxy, son correctas para ambos pares. Para VPN basadas en rutas, el ID de proxy predeterminado es local=0.0.0.0/0, remote=0.0.0.0/0 y service=any. Pueden producirse problemas con varias VPN basadas en rutas desde el mismo IP par. En este caso, se debe especificar un ID de proxy único para cada SA de IPsec. Para algunos proveedores externos, el ID de proxy se debe ingresar manualmente para que coincida.
-
Algoritmos de autenticación y cifrado utilizados.
-
Parámetros de propuesta de fase 2 (deben coincidir entre pares).
-
Enlaces de túnel seguro (st0.0 y st0.1) a las puertas de enlace OAM y 3GPP.
Política de ICR con una CA de confianza
En este ejemplo, se muestra cómo enlazar un servidor de CA de confianza a una política de IKE del par.
Antes de comenzar, debe tener una lista de todas las CA de confianza que desea asociar con la política de ICR del par.
Puede asociar una política de ICR a un único perfil de CA de confianza o a un grupo de CA de confianza. Para establecer una conexión segura, la puerta de enlace de IKE usa la política de IKE para limitarse al grupo configurado de CA (ca-profiles) mientras valida el certificado. No se valida un certificado emitido por cualquier fuente que no sea la CA de confianza o el grupo de CA de confianza. Si hay una solicitud de validación de certificado procedente de una política de IKE, el perfil de CA asociado de la política de IKE validará el certificado. Si una política de ICR no está asociada con ninguna CA, de forma predeterminada, cualquiera de los perfiles de CA configurados valida el certificado.
En este ejemplo, se crea un perfil de CA denominado root-ca y se root-ca-identity asocia un perfil de CA al perfil.
Puede configurar un máximo de 20 perfiles de CA que desee agregar a un grupo de CA de confianza. No puede confirmar su configuración si configura más de 20 perfiles de CA en un grupo de CA de confianza.
Para ver los perfiles de CA y los grupos de CA de confianza configurados en su dispositivo, ejecute show security pki el comando.
user@host# show security ike
proposal ike_prop {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
El show security ike comando muestra el grupo de perfiles de CA bajo la política de IKE denominada ike_policy y el certificado asociado con la política de IKE.