Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de VPN de grupo en vpnv2 del grupo en dispositivos de enrutamiento

Nota:

Group VPNv2 es el nombre de la tecnología Group VPN en enrutadores MX5, MX10, MX40, MX80, MX104, MX240, MX480 y MX960. El grupo VPNv2 es diferente de la tecnología VPN de grupo implementada en las puertas de enlace de seguridad SRX. El término VPN de grupo se utiliza a veces en este documento para referirse a la tecnología en general, no a la tecnología SRX.

En este ejemplo, se muestra cómo configurar VPN de grupo en el grupo VPNv2 para extender la arquitectura de seguridad IP (IPsec) para admitir asociaciones de seguridad de grupo (GSA) que son compartidas por un grupo de enrutadores.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos plataformas de enrutamiento universal de 5G serie MX con tarjetas de línea MS-MIC-16G o MS-MPC-PIC

  • Accesibilidad a uno o más controladores del grupo Cisco o servidores clave (GC/KS)

  • Junos OS versión 14.1 o posterior se ejecuta en los enrutadores serie MX

Antes de empezar:

  1. Configure los enrutadores para la comunicación de red.

  2. Configure the Cisco GC/KS.

  3. Configure las interfaces de dispositivo miembro del grupo.

Visión general

A partir de la versión 14.1 de Junos OS, los enrutadores serie MX con tarjetas de línea MS-MIC-16G y MS-MPC-PIC proporcionan compatibilidad de funcionalidad para miembros del grupo VPNv2 con uno o más controladores del grupo Cisco o servidores clave (GC/KS). Los miembros del grupo pueden conectarse a un máximo de cuatro GC/KS Cisco con una interoperabilidad mínima con los servidores cooperativos.

Esta función también ofrece compatibilidad con el registro del sistema para la funcionalidad del grupo VPNv2 y soporte de instancia de enrutamiento para el control y el tráfico de datos.

Topología

En la figura 1, se configura una VPN de grupo entre un servidor de grupo Cisco, GC/KS, y dos miembros del grupo, GM1 y GM2. Los miembros del grupo están conectados a los dispositivos host.

En la Figura 2, se configura una VPN de grupo entre GM1 y GM2, y GC/KS1 y GC/KS2 son los servidores de grupo principal y secundario, respectivamente.

Figura 1: VPN de grupo con GC/KS Group VPN with Single GC/KS único
Figura 2: VPN de grupo con varios GC/KS Group VPN with Multiple GC/KS

Configuración

Configuración del grupo VPNv2 con un único GC/KS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego commit , la configuración.

GM1

GM2

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Para configurar GM1:

  1. Configure las interfaces del enrutador GM1.

  2. Configure rutas estáticas para llegar al servidor del grupo y al miembro 2.

  3. Defina la propuesta de ICR.

  4. Configure la SA de fase 1 para la propuesta de ike.

  5. Defina la política de ICR.

  6. Establezca las puertas de enlace remotas para gw-group1.

  7. Configure el identificador de grupo y la puerta de enlace de ICR para gw-group1.

  8. Configure el conjunto de servicios para gw-group1.

Resultados

Desde el modo de configuración, ingrese los comandos , show routing-options, show securityy show services para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

GM1

Configuración del grupo VPNv2 con varios GC/KS

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego commit , la configuración.

GM1

GM2

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Para configurar GM1:

  1. Configure las interfaces del enrutador GM1.

  2. Configure rutas estáticas para llegar al servidor del grupo y al miembro 2.

  3. Defina la propuesta de ICR.

  4. Configure la SA de fase 1 para la propuesta de ike.

  5. Defina la política de ICR.

  6. Establezca las puertas de enlace remotas para gw-group1.

  7. Configure el identificador de grupo y la puerta de enlace de ICR para gw-group1.

  8. Configure el conjunto de servicios para gw-group1.

Resultados

Desde el modo de configuración, ingrese los comandos , show routing-options, show securityy show services para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

GM1

Verificación

Confirme que la configuración funciona correctamente.

Verificar la SA IKE de miembro del grupo

Propósito

Verifique las SA de ICR en el enrutador GM1.

Acción

Desde el modo operativo, ejecute el show security group-vpn member ike security-associations detail comando.

Significado

El enrutador GM1 ha establecido la SA IKE con el GC/KS para el grupo.

Verificar la SA de IPsec, miembro del grupo

Propósito

Verifique las SA de IPsec en el enrutador GM1.

Acción

Desde el modo operativo, ejecute el show security group-vpn member ipsec security-associations detail comando.

Significado

El enrutador GM1 ha establecido la SA IPsec con el GC/KS.

Verificar las estadísticas de IPsec de los miembros del grupo

Propósito

Verifique las estadísticas de IPsec en el enrutador GM1.

Acción

Desde el modo operativo, ejecute el show security group-vpn member ipsec statistics comando.

Significado

ESP Statistics muestra que los flujos de paquetes se han cifrado y descifrado entre los miembros del grupo. El enrutador GM1 ha cifrado 3 paquetes y ha recibido 3 paquetes descifrados del enrutador GM2.

Solución de problemas

Para solucionar problemas de la configuración del grupo VPNv2, consulte:

Negociación de la SA de ICR

Problema

La negociación de SA de ICR no se activa en el miembro del grupo.

El resultado de los show ike comandos y show security group-vpn member ike security-associations no muestra las negociaciones de IKE.

Solución

Para solucionar el problema de la negociación de IKE:

  1. Compruebe si el estado de la interfaz de servicio está activo.

    Use show interfaces terse | match ms para comprobar si la interfaz MS está desactivada. Una interfaz ms falla cuando la PIC se está reiniciando.

  2. Ignore gvpn vpn_name since it is inactive Busque en el archivo /var/log/gkmdde registro .

    Compruebe si cualquier servicio establecido en la configuración hace referencia a la VPN del grupo.

    1. Habilite .security group-vpn member ike traceoptions

    2. Busque los siguientes mensajes de registro del sistema en el archivo de registro de seguimiento:

      • Dec 2 16:09:54 GVPN:iked_pm_gvpn_trigger called for gvpn200

      • Dec 2 16:09:54 GVPN:PM NULL for gvpn gvpn200

      • Dec 2 16:09:54 GVPN:Ignore gvpn gvpn200 since it is inactive

Esto significa que el conjunto de servicios está inactivo o la interfaz de servicio está inactiva.

Establecer la SA de ICR

Problema

La SA de IKE no se está estableciendo con el GC/KS.

En este caso, el estado sa de IKE está inactivo en la salida del show security group-vpn member ike security-associations comando:

Solución

Para solucionar el problema de la SA de ICR:

  1. Compruebe si la dirección del servidor configurada [edit security group-vpn member ike gateway] en es la correcta y es accesible.

  2. Utilice el ping comando entre los dispositivos remotos para comprobar la conectividad de red.

  3. Compruebe si la dirección local de la group-vpn configuración también es una dirección configurada en cualquiera de las interfaces físicas de la configuración.

  4. Compruebe si las propuestas de ICR coinciden entre el miembro del grupo y el GC/KS.

    Si hay una configuración errónea en la negociación de SA de IKE, haga lo siguiente:

    1. Habilite .security group-vpn member ike traceoption

    2. Busque el siguiente mensaje en el archivo de registro de seguimiento: Dec 2 15:39:54 ikev2_fb_negotiation_done_isakmp: Entered IKE error code No proposal chosen (14), IKE SA 8dd7000 (neg 8dda800).

  5. Busque un No proposal chosen error en el archivo /var/log/gkmdde registro .

Descarga de la SA GDOI IPsec

Problema

Las SA GDOI IPsec no se descargan del GC/KS.

En este caso, el GDOI groupkey-pull con el GC/KS configurado falla y la salida del show security group-vpn member ipsec sa comando no muestra nada.

Solución

Para solucionar el problema de sa de GDOI IPsec:

  1. Compruebe si la SA IKE se ha establecido con el GC/KS.

  2. Compruebe si el ID de grupo configurado en el GC/KS y el miembro del grupo coinciden.

  3. Busque errores de instalación de SA de grupo u otros errores en el archivo /var/log/gkmdde registro .

    Busque los siguientes mensajes syslog para confirmar el uso de un algoritmo SA GDOI no compatible:

    • Dec 2 15:32:49 simpleman gkmd[1701]: Failed to install SA because of unsupported algo(encr: 3des-cbc, auth : (null)) for SPI 0x6645cdb5 from server 192.0.2.1

    • Dec 2 15:32:49 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason SA unusable

    Busque los siguientes mensajes syslog para confirmar el uso de políticas GDOI no compatibles:

    • Dec 2 15:34:34 simpleman gkmd[1701]: Failed to install SA because of too many(2) policies for SPI 0x6951550c from server 192.0.2.1

    • Dec 2 15:34:34 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason SA unusable

Cifrado y descifrado de tráfico

Problema

La CLI muestra las SA de IPsec como instaladas, pero el tráfico no pasa por las SA.

En este caso, el tráfico que coincide con las reglas recibidas del servidor no se cifra ni se descifra. La show security group-vpn member ipsec statistics salida del comando muestra un valor cero para cifrar y descifrar el recuento de paquetes.

Solución

Busque Rule lookup failures el contador en la sección de errores de la salida de cli.

Mensajes de registro del sistema de solución de problemas

Problema

Los mensajes de registro del sistema se generan para registrar los diferentes eventos del grupo VPNv2.

Solución

Para interpretar los mensajes de registro del sistema, consulte lo siguiente:

  • Dec 2 15:29:10 simpleman gkmd[1701]: Member registration succeeded with key server 192.0.2.1 for group vpn gvpn200—La tracción de GDOI tuvo éxito.

  • Dec 2 15:21:18 simpleman gkmd[1701]: Member registration failed with key server 192.0.2.1 for group vpn gvpn200, reason Timed out— La extracción de GDOI falló.

  • Dec 2 15:34:34 simpleman gkmd[1701]: Failed to install SA because of too many(2) policies for SPI 0x6951550c from server 192.0.2.1—La instalación de SA de GDOI falló debido a demasiadas políticas.

  • Dec 2 15:21:18 simpleman gkmd[1701]: Server 192.0.2.1 is unreachable for group vpn gvpn200—Un solo GC/KS falló (no COOP).

  • Dec 2 15:51:49 simpleman gkmd[1701]: Current key server 192.0.2.1 is unreachable and will try registering with next Key Server 192.1.1.2 for group vpn gvpn200—Gc/KS particular no responde (COOP).

  • Dec 2 15:56:24 simpleman gkmd[1701]: All servers are unreachable for group vpn gvpn200— Ninguno de los GC/KS responde (COOP).

  • Dec 2 16:01:43 simpleman gkmd[1701]: Member re-registering with Key Server 192.0.2.1 for group-vpn gvpn200—Reinscripción de miembros en el GC/KS.

  • Dec 2 16:01:43 simpleman gkmd[1701]: Creating TEK with SPI 0xb35200ac tunnel_id 10001 for group vpn gvpn200—La creación de GDOI SA TEK fue exitosa.

  • Dec 2 16:29:01 simpleman gkmd[1701]: Deleting TEK with SPI 0x6dba2a76 tunnel_id 10001 for group vpn gvpn200 and reason cleared from CLI—GDOI SA TEK destroy tuvo éxito con la razón.

    Diferentes razones para la destrucción de GDOI SA TEK son las siguientes:

    • Borrado de CLI

    • Vida útil dura vencida

    • Demasiados TEKs

    • Cambio de configuración

    • Error de instalación de SA

    • SA rancia

    • Interfaz abajo