Túneles ES para VPN de capa 3
Configuración de una interfaz de túnel ES para VPN de capa 3
Una interfaz de túnel ES le permite configurar un túnel de seguridad IP (IPsec) entre los enrutadores PE y CE de una VPN de capa 3. El túnel IPsec puede incluir uno o varios saltos.
En las secciones siguientes se explica cómo configurar una interfaz de túnel ES entre los enrutadores PE y CE de una VPN de capa 3:
- Configuración de la interfaz de túnel ES en el enrutador PE
- Configuración de la interfaz de túnel ES en el enrutador CE
Configuración de la interfaz de túnel ES en el enrutador PE
Para configurar la interfaz de túnel ES en el enrutador PE, incluya la unit instrucción:
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
De forma predeterminada, se supone que la dirección de destino del túnel está en la tabla de enrutamiento de Internet predeterminada, inet.0. Para los túneles IPsec que usan asociación de seguridad manual (SA), si la dirección de destino del túnel no está en la tabla de enrutamiento inet.0 predeterminada, debe especificar qué tabla de enrutamiento buscar la dirección de destino del túnel configurando la routing-instance instrucción. Este es el caso si la interfaz de encapsulación de túnel también está configurada en la instancia de enrutamiento.
unit logical-unit-number {
tunnel {
source address;
destination address;
routing-instance {
destination routing-instance-name;
}
family inet {
address address;
ipsec-sa security-association-name;
}
family mpls;
}
}
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]Nota:Para los túneles IPsec que utilizan SA dinámica, la dirección de destino del túnel debe estar en la tabla de enrutamiento de Internet predeterminada, inet.0.
Para completar la configuración de la interfaz de túnel ES, incluya la interface instrucción para la interfaz ES en la instancia de enrutamiento adecuada:
interface interface-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Configuración de la interfaz de túnel ES en el enrutador CE
Para configurar la interfaz de túnel ES en el enrutador CE, incluya la unit instrucción:
unit 0 {
tunnel {
source address;
destination address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
Configuración de una interfaz de túnel ES entre un enrutador PE y CE
En este ejemplo se muestra cómo configurar una interfaz de túnel ES entre un enrutador PE y un enrutador CE en una VPN de capa 3. La topología de red utilizada en este ejemplo se muestra en la figura 1.
Para configurar este ejemplo, realice los pasos descritos en las secciones siguientes:
- Configuración de IPsec en el enrutador PE1
- Configuración de la instancia de enrutamiento sin la interfaz de encapsulación
- Configuración de la instancia de enrutamiento con la interfaz de encapsulación
- Configuración de la interfaz de túnel ES en el enrutador CE1
- Configuración de IPsec en el enrutador CE1
Configuración de IPsec en el enrutador PE1
Configure la seguridad IP (IPsec) en el enrutador PE1:
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}
Configuración de la instancia de enrutamiento sin la interfaz de encapsulación
Puede configurar la instancia de enrutamiento en el enrutador PE1 con o sin la interfaz de encapsulación (t3-0/1/3 en este ejemplo). En las secciones siguientes se explica cómo configurar la instancia de enrutamiento sin ella:
- Configuración de la instancia de enrutamiento en el enrutador PE1
- Configuración de la interfaz de túnel ES en el enrutador PE1
- Configuración de la interfaz de encapsulación para el túnel ES
Configuración de la instancia de enrutamiento en el enrutador PE1
Configure la instancia de enrutamiento en el enrutador PE1:
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuración de la interfaz de túnel ES en el enrutador PE1
Configure la interfaz de túnel ES en el enrutador PE1:
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
Configuración de la interfaz de encapsulación para el túnel ES
En este ejemplo, la interfaz t3-0/1/3 es la interfaz de encapsulación para el túnel ES. Configurar interfaz t3-0/1/3:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuración de la instancia de enrutamiento con la interfaz de encapsulación
Si la interfaz de encapsulación de túnel, t3-0/1/3, también está configurada en la instancia de enrutamiento, debe especificar el nombre de la instancia de enrutamiento en la definición de interfaz. El sistema utiliza esta instancia de enrutamiento para buscar la dirección de destino del túnel IPsec mediante la asociación manual de seguridad.
En las secciones siguientes se explica cómo configurar la instancia de enrutamiento con la interfaz de encapsulación:
- Configuración de la instancia de enrutamiento en el enrutador PE1
- Configuración de la interfaz de túnel ES en el enrutador PE1
- Configuración de la interfaz de encapsulación en el enrutador PE1
Configuración de la instancia de enrutamiento en el enrutador PE1
Configure la instancia de enrutamiento en el enrutador PE1 (incluida la interfaz de encapsulación de túnel):
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
Configuración de la interfaz de túnel ES en el enrutador PE1
Configure la interfaz de túnel ES en el enrutador PE1:
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
Configuración de la interfaz de encapsulación en el enrutador PE1
Configure la interfaz de encapsulación en el enrutador PE1:
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
Configuración de la interfaz de túnel ES en el enrutador CE1
Configure la interfaz de túnel ES en el enrutador CE1:
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
ipsec-sa sa-esp-manual;
}
}
Configuración de IPsec en el enrutador CE1
Configure IPsec en el enrutador CE1:
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}