Crear una VPN radial (establecimiento por radios)

Auto-VPN le permite configurar un concentrador para radios actuales y futuros. No es necesario realizar cambios de configuración en el concentrador cuando se agregan o eliminan dispositivos radiales, lo que permite a los administradores flexibilidad para administrar despliegues de red a gran escala.

Antes de empezar

Lea el tema Descripción general de VPN IPsec .
Revise la página principal de VPN IPsec para comprender el conjunto de datos actual. Consulte Campos de la página principal de VPN IPsec para obtener descripciones de los campos.
Crear direcciones y conjuntos de direcciones. Consulte Crear direcciones o grupos de direcciones.
Crear perfiles VPN. Consulte Creación de perfiles VPN.

Seleccione VPN SRX > IPsec > VPN IPsec.

Se abre la página VPN IPsec.
Haga clic en Crear > Basado en rutas - Hub and Spoke (Establecimiento por radios).

Se abre la página Crear VPN radial (Establecimiento por radios).
Complete los parámetros de configuración de VPN de acuerdo con las directrices proporcionadas en la Tabla 1.

Nota:
Haga clic en Ver configuración de IKE/IPsec para ver o editar los perfiles de VPN. Si el perfil de VPN es el predeterminado, puede editar las configuraciones. Si el perfil es compartido, solo puede ver las configuraciones.

La conectividad VPN cambiará de gris a azul en la topología para mostrar que la configuración se ha completado. La topología que se muestra para el concentrador y radio es solo una representación. Puede configurar un concentrador como máximo.
Haga clic en Guardar para guardar la configuración de VPN IPsec.

Tabla 1: Crear configuración de página VPN radial (establecimiento por radios)
Configuración	Directrices
Nombre	Introduzca una cadena única de un máximo de 63 caracteres alfanuméricos sin espacios. La cadena puede contener dos puntos, puntos, guiones y guiones bajos.
Descripción	Introduzca una descripción que contenga un máximo de 255 caracteres para la VPN.
Topología de enrutamiento	Seleccione Enrutamiento dinámico OSPF para generar la configuración de OSPF.
Perfil de VPN	Seleccione un perfil de VPN de la lista desplegable según el escenario de implementación. El perfil en línea solo se aplica a una VPN IPsec determinada. Puede ver y editar los detalles haciendo clic en Ver configuración de IKE/IPsec en la página Crear VPN. El perfil compartido puede ser utilizado por una o más VPN IPsec. Solo puede ver los detalles de los perfiles compartidos haciendo clic en Ver configuración de IKE/IPsec.
Método de autenticación	Seleccione un método de autenticación de la lista que el dispositivo utilice para autenticar el origen de los mensajes IKE. RSA-Signatures: especifica que se utiliza un algoritmo de clave pública que admite cifrado y firmas digitales. DSA-Signatures: especifica que se utiliza el algoritmo de firma digital (DSA). ECDSA-Signatures-256: especifica que se utiliza la DSA de curva elíptica (ECDSA) que utiliza la curva elíptica secp256r1 de 256 bits, tal como se especifica en la Norma federal de procesamiento de información (FIPS) Norma de firma digital (DSS) 186-3. ECDSA-Signatures-384: especifica que se usa la ECDSA que usa la curva elíptica de 384 bits secp384r1, como se especifica en FIPS DSS 186-3.
Unidad de transmisión máxima	Seleccione la unidad máxima de transmisión (MTU) en bytes. MTU define el tamaño máximo de un paquete IP, incluida la sobrecarga de IPsec. Puede especificar el valor MTU para el extremo del túnel. El intervalo válido es de 68 a 9192 bytes y el valor predeterminado es 1500 bytes.
IP de red	Introduzca la dirección IP de la interfaz de túnel numerado. Esta es la dirección de subred desde donde se asigna automáticamente la dirección IP para las interfaces de túnel.
Dispositivos	Agregar dispositivos como puntos de conexión en la VPN. Nota: No puede agregar un par de alta disponibilidad (MNHA) de varios nodos. Sin embargo, puede agregar uno o ambos dispositivos en el par MNHA. Para agregar dispositivos en VPN basadas en rutas: Haga clic en Agregar y haga clic en una de las siguientes opciones: Dispositivo concentrador, Dispositivo radial o Dispositivo radial de extranet. Se abre la página Agregar dispositivo. Configure los parámetros del dispositivo como se describe en la tabla 2. Haga clic en Aceptar.

Tabla 2: Agregar configuración de página de dispositivo
Configuración	Directrices
Dispositivo	Seleccione un dispositivo.
Interfaz externa	Seleccione la interfaz de salida para las asociaciones de seguridad (SA) de IKE. \ Esta interfaz está asociada a una zona que actúa como su portadora, proporcionando seguridad de firewall para ella.
Zona de túnel	Seleccione la zona de túnel. Las zonas de túnel son áreas lógicas del espacio de direcciones que pueden admitir grupos de direcciones IP dinámicas (DIP) para aplicaciones NAT para tráfico IPsec pre y postencapsulado. Las zonas de túnel también proporcionan flexibilidad para combinar interfaces de túnel con túneles VPN.
Métrico	Especifique el costo de una ruta de acceso para el siguiente salto.
Instancia de enrutamiento	Seleccione la instancia de enrutamiento necesaria.
Certificado	Seleccione un certificado para autenticar el iniciador y el destinatario de la red privada virtual (VPN). Esto es aplicable en uno de los siguientes escenarios: El perfil de VPN es el perfil de RSA o el perfil de ADVPN. El método de autenticación es RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 o ECDSA-Signatures-384.
CA/grupo de confianza	Seleccione el perfil de CA de la lista para asociarlo con el certificado local. Esto es aplicable en uno de los siguientes escenarios: El perfil de VPN es el perfil de RSA o el perfil de ADVPN. El método de autenticación es RSA-Signatures, DSA-Signatures, ECDSA-Signatures-256 o ECDSA-Signatures-384.
Exportar	Seleccione el tipo de rutas que desea exportar. Active la casilla Rutas estáticas para exportar rutas estáticas. Juniper Security Director Cloud simplifica la administración de direcciones VPN al permitir que el administrador exporte rutas estáticas a un sitio remoto a través de un túnel, lo que permite que las redes de rutas estáticas participen en la VPN. Sin embargo, solo los dispositivos del lado del concentrador pueden exportar rutas predeterminadas estáticas al lado del dispositivo. Los dispositivos en el lado radial no pueden exportar rutas predeterminadas estáticas a través de un túnel. Para el enrutamiento dinámico eBGP, la casilla Rutas estáticas está activada de forma predeterminada. Active la casilla de verificación Rutas RIP para exportar rutas RIP. Puede exportar rutas RIP sólo cuando la topología de enrutamiento es enrutamiento dinámico OSPF. Active la casilla Rutas OSPF para exportar rutas OSPF. Puede exportar rutas OSPF sólo cuando la topología de enrutamiento es enrutamiento dinámico RIP. Si selecciona la exportación OSPF o RIP, las rutas OSPF o RIP fuera de la red VPN se importan a una red VPN a través de los protocolos de enrutamiento dinámico OSPF o RIP.
Área OSPF	Seleccione un ID de área OSPF dentro del intervalo de 0 a 4.294.967.295 donde se deben configurar las interfaces de túnel de esta VPN. El ID de área OSPF es aplicable cuando la topología de enrutamiento es Enrutamiento dinámico OSPF.
Redes protegidas	Configure las direcciones o el tipo de interfaz del dispositivo seleccionado para proteger un área de la red de la otra. Cuando se selecciona un protocolo de enrutamiento dinámico, se muestra la opción de interfaz. También puede crear direcciones haciendo clic en Agregar nueva dirección.

Tabla 3: Ver configuración de IKE/IPsec
Configuración	Directrices
Configuración de IKE
Versión de IKE	Seleccione la versión de IKE necesaria, ya sea V1 o V2, que se utiliza para negociar asociaciones de seguridad dinámica (SA) para IPsec. De forma predeterminada, se utiliza IKE V2.
Modo	Seleccione un modo de política de IKE. Principal: utiliza seis mensajes en tres intercambios punto a punto para establecer la SA de IKE. Estos tres pasos incluyen la negociación IKE SA, un intercambio Diffie-Hellman y la autenticación del par. Este modo también proporciona protección de identidad. Agresivo: toma la mitad del número de mensajes del modo principal, tiene menos poder de negociación y no proporciona protección de identidad. El modo es aplicable cuando la versión de IKE es V1.
Algoritmo de cifrado	Seleccione el mecanismo de cifrado adecuado.
Algoritmo de autenticación	Seleccione un algoritmo. El dispositivo utiliza este algoritmo para comprobar la autenticidad e integridad de un paquete.
Grupo Deffie Hellman	Seleccione un grupo. Los grupos Diffie-Hellman (DH) determinan la intensidad de la clave utilizada en el proceso de intercambio de claves.
Segundos de por vida	Seleccione una duración de una asociación de seguridad (SA) IKE. El rango válido es de 180 a 86400 segundos.
Detección de pares muertos	Active esta opción para permitir que las dos puertas de enlace determinen si la puerta de enlace del mismo nivel está activa y responde a los mensajes de detección de pares inactivos (DPD) que se negocian durante el establecimiento de IPsec.
Modo DPD	Seleccione un modo DPD. Optimizado: los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante dentro de un intervalo configurado después de que el dispositivo envíe paquetes salientes al par. Este es el modo predeterminado. Túnel inactivo de sondeo: los mensajes R-U-THERE se activan si no hay tráfico IKE o IPsec entrante o saliente dentro de un intervalo configurado. Los mensajes R-U-THERE se envían periódicamente al par hasta que haya actividad de tráfico. Siempre enviar: los mensajes de R-U-THERE se envían a intervalos configurados, independientemente de la actividad de tráfico entre los pares.
Intervalo DPD	Seleccione un intervalo en segundos para enviar mensajes de detección de pares muertos. El intervalo predeterminado es de 10 segundos con un intervalo válido de 2 a 60 segundos.
Umbral DPD	Seleccione el valor del umbral DPD de error. Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces con un rango válido de 1 a 5.
Configuración avanzada
General IKE ID	Habilite esta opción para aceptar el ID de IKE del mismo nivel Esta opción está desactivada de forma predeterminada. Si el ID de IKE general está habilitado, la opción ID de IKE se desactiva automáticamente.
Autenticación IKEv2 Re	Seleccione una frecuencia de reautenticación. La reautenticación se puede deshabilitar estableciendo la frecuencia de reautenticación en 0. El intervalo válido es de 0 a 100.
Soporte de fragmentación IKEv2 Re	Habilite esta opción para dividir un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP.
Tamaño de refragmentación de IKEv2	Seleccione el tamaño del paquete en el que se fragmentan los mensajes. De forma predeterminada, el tamaño es de 576 bytes para IPv4 y el intervalo válido es de 570 a 1320.
IKE ID	Seleccione una de las siguientes opciones: Ninguno Nombre distinguido Nombre de host Dirección IPv4 Dirección de correo electrónico El ID de IKE solo es aplicable cuando el ID de IKE general está deshabilitado.
NAT-T	Habilite la traslación de direcciones de red (NAT-T) si el extremo dinámico está detrás de un dispositivo NAT.
Manténgase vivo	Seleccione un período en segundos para mantener viva la conexión. Se requiere NAT Keepalives para mantener la traducción NAT durante la conexión entre los pares VPN. El rango válido es de 1 a 300 segundos.
Configuración de IPsec
Protocolo	Seleccione el protocolo necesario para establecer la VPN. ESP: el protocolo de carga de seguridad encapsuladora (ESP) proporciona cifrado y autenticación. AH: el protocolo de encabezado de autenticación (AH) proporciona integridad y autenticación de datos.
Algoritmo de cifrado	Seleccione el método de cifrado. Esto es aplicable si el Protocolo es ESP.
Algoritmo de autenticación	Seleccione un algoritmo. El dispositivo utiliza estos algoritmos para verificar la autenticidad e integridad de un paquete.
Confidencialidad directa perfecta	Seleccione Perfect Forward Secrecy (PFS) como el método que utiliza el dispositivo para generar la clave de cifrado. El PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos numerados más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento.
Establecer túnel	Seleccione una opción para especificar cuándo se activa IKE. Inmediatamente: IKE se activa inmediatamente después de confirmar los cambios en la configuración de VPN. En el tráfico: IKE se activa solo cuando fluye el tráfico de datos y debe negociarse con la puerta de enlace del mismo nivel. Este es el comportamiento predeterminado.
Configuración avanzada
VPN Monitor	Active esta opción para enviar el Protocolo de mensajes de control de Internet (ICMP) para determinar si la VPN está activa.
Optimizado	Active esta opción para optimizar la supervisión de VPN y configure los firewalls de la serie SRX para enviar solicitudes de eco ICMP, también denominadas pings, solo cuando haya tráfico saliente y no haya tráfico entrante desde el par configurado a través del túnel VPN. Si hay tráfico entrante a través del túnel VPN, los firewalls de la serie SRX consideran que el túnel está activo y no envían pings al par.
Anti Repetición	Active esta opción para que el mecanismo IPsec proteja contra un ataque VPN que use una secuencia de números integrada en el paquete IPsec. IPsec no acepta un paquete para el que ya haya visto el mismo número de secuencia. Comprueba los números de secuencia y aplica la comprobación en lugar de simplemente ignorar los números de secuencia. Deshabilite esta opción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide su correcto funcionamiento. De forma predeterminada, la detección Anti-Replay está habilitada.
Intervalo de instalación	Seleccione el número máximo de segundos que desea permitir la instalación de una asociación de seguridad saliente (SA) con nueva clave en el dispositivo.
Tiempo de inactividad	Seleccione el intervalo de tiempo de inactividad adecuado. Las sesiones y sus traducciones correspondientes suelen agotar el tiempo de espera después de un cierto período si no se recibe tráfico.
DF Bit	Seleccione una opción para procesar el bit No fragmentar (DF) en los mensajes IP. Borrar (Clear): permite desactivar el bit DF de los mensajes IP. Esta es la opción predeterminada. Copiar (Copy): permite copiar el bit DF en los mensajes IP. Set: habilita el bit DF en los mensajes IP.
Copiar DSCP externo	Active esta opción para permitir la copia del campo Punto de código de servicios diferenciados (DSCP) del paquete cifrado con encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. La ventaja de habilitar esta característica es que, después del descifrado IPsec, los paquetes de texto sin cifrar pueden seguir las reglas internas de clase de servicio (CoS).
Segundos de por vida	Seleccione una duración de una asociación de seguridad (SA) IKE. El rango válido es de 180 a 86400 segundos.
Kilobytes de por vida	Seleccione la duración en kilobytes de una asociación de seguridad (SA) IPsec. El intervalo válido es de 64 a 4294967294 kilobytes.