Crear una VPN de sitio a sitio basada en rutas
Una VPN de sitio a sitio permite comunicaciones seguras entre dos sitios de una organización.
Antes de empezar
Lea el tema Descripción general de VPN IPsec .
Revise la página principal de VPN IPsec para comprender el conjunto de datos actual. Consulte Campos de la página principal de VPN IPsec para obtener descripciones de los campos.
Crear direcciones y conjuntos de direcciones. Consulte Crear direcciones o grupos de direcciones.
Crear perfiles VPN. Consulte Creación de perfiles VPN.
Definir dispositivos de extranet. Consulte Creación de dispositivos de extranet.
Configuración |
Directrices |
---|---|
General | |
Nombre |
Introduzca una cadena única de un máximo de 63 caracteres alfanuméricos sin espacios. La cadena puede contener dos puntos, puntos, guiones y guiones bajos. |
Descripción |
Introduzca una descripción que contenga un máximo de 255 caracteres para la VPN. |
Topología de enrutamiento |
Seleccione una de las siguientes opciones:
La topología de enrutamiento solo se aplica a VPN basadas en rutas. |
Perfil de VPN |
Seleccione un perfil de VPN de la lista desplegable según el escenario de implementación.
Puede ver y editar los detalles de los perfiles de VPN haciendo clic en Ver configuración de perfil VPN en la página Crear VPN. |
Método de autenticación |
Seleccione un método de autenticación de la lista que el dispositivo utilice para autenticar el origen de los mensajes IKE.
|
IP de red |
Introduzca la dirección IP de la interfaz de túnel numerado. Esta es la dirección de subred desde donde se asigna automáticamente la dirección IP para las interfaces de túnel. |
Unidad de transmisión máxima |
Seleccione la unidad máxima de transmisión (MTU) en bytes. MTU define el tamaño máximo de un paquete IP, incluida la sobrecarga de IPsec. Puede especificar el valor MTU para el extremo del túnel. El intervalo válido es de 68 a 9192 bytes y el valor predeterminado es 1500 bytes. |
Clave precompartida |
Establezca una conexión VPN utilizando claves previamente compartidas, que es esencialmente una contraseña que es igual para ambas partes. Las claves precompartidas suelen implementarse para VPN IPsec de sitio a sitio, ya sea dentro de una sola organización o entre diferentes organizaciones. Seleccione el tipo de clave previamente compartida que desea utilizar:
Las claves previamente compartidas solo son aplicables si el método de autenticación se basa en el uso compartido previamente. |
Dispositivos |
Agregar dispositivos como puntos de conexión en la VPN. Puede agregar un máximo de dos dispositivos.
Nota:
No puede agregar un par de alta disponibilidad (MNHA) de varios nodos. Sin embargo, puede agregar uno o ambos dispositivos en el par MNHA. Para agregar dispositivos en VPN basadas en rutas:
|
Configuración |
Directrices |
---|---|
Dispositivo |
Seleccione un dispositivo. |
Interfaz externa |
Seleccione la interfaz de salida para las asociaciones de seguridad (SA) de IKE. |
Zona de túnel |
Seleccione la zona de túnel. Las zonas de túnel son áreas lógicas de espacios de direcciones que pueden admitir grupos de direcciones IP dinámicas (DIP) para aplicaciones NAT para tráfico IPsec pre y postencapsulado. Las zonas de túnel también proporcionan flexibilidad para combinar interfaces de túnel con túneles VPN. Las zonas de túnel solo son aplicables para VPN de sitio a sitio basada en rutas. |
Instancia de enrutamiento |
Seleccione la instancia de enrutamiento necesaria. Las instancias de enrutamiento solo se aplican a VPN de sitio a sitio basadas en rutas. |
Iniciador/destinatario |
Seleccione una de las siguientes opciones:
Esta opción es aplicable cuando el perfil de VPN es el perfil de modo agresivo. |
Certificado |
Seleccione un certificado para autenticar el iniciador y el destinatario de la VPN. Los certificados de autenticación son aplicables en uno de los siguientes escenarios:
|
CA/grupo de confianza |
Seleccione el perfil de CA de la lista para asociarlo con el certificado local. Los perfiles de CA son aplicables en uno de los siguientes escenarios:
|
Exportar |
Seleccione el tipo de rutas que desea exportar.
Si selecciona la exportación OSPF o RIP, las rutas OSPF o RIP fuera de la red VPN se importan a una red VPN a través de los protocolos de enrutamiento dinámico OSPF o RIP. |
Área OSPF |
Seleccione un ID de área OSPF dentro del intervalo de 0 a 4.294.967.295 donde se deben configurar las interfaces de túnel de esta VPN. El ID de área OSPF es aplicable cuando la topología de enrutamiento es OSPF-Dynamic Routing en VPN de sitio a sitio basadas en ruta. |
Tiempo máximo de retransmisión |
Seleccione el temporizador de retransmisión para limitar el número de veces que el circuito de demanda RIP vuelve a enviar mensajes de actualización a un par que no responde. Si se alcanza el umbral de retransmisión configurado, las rutas del enrutador del salto siguiente se marcan como inalcanzables y se inicia el temporizador de retención. Debe configurar un par de circuitos de demanda RIP para que este temporizador surta efecto. El rango de retransmisión es de 5 a 180 segundos y el valor predeterminado es 50 segundos. Esta opción solo se aplica cuando la topología de enrutamiento es Enrutamiento dinámico RIP en VPN de sitio a sitio basada en ruta. |
Número de AS |
Seleccione un número único para asignarlo al sistema autónomo (AS). El número AS identifica un sistema autónomo y permite que el sistema intercambie información de enrutamiento exterior con otros sistemas autónomos vecinos. El intervalo válido es de 0 a 4294967294. El número AS solo es aplicable cuando la topología de enrutamiento es enrutamiento dinámico e-BGP en VPN de sitio a sitio basada en ruta. |
Redes protegidas |
Configure las direcciones o el tipo de interfaz del dispositivo seleccionado para proteger un área de la red de la otra. Cuando se selecciona un protocolo de enrutamiento dinámico, se muestra la opción de interfaz. También puede crear direcciones haciendo clic en el signo +. Esta opción solo se aplica a VPN de sitio a sitio basadas en rutas. |
Configuración |
Directrices |
---|---|
Configuración de IKE |
|
Método de autenticación |
Seleccione un método de autenticación de la lista que el dispositivo utilice para autenticar el origen de los mensajes IKE.
|
Versión de IKE |
Seleccione la versión de IKE necesaria, ya sea V1 o V2, que se utiliza para negociar asociaciones de seguridad dinámica (SA) para IPsec. De forma predeterminada, se utiliza IKE V2. |
Modo |
Seleccione un modo de política de IKE.
El modo es aplicable cuando la versión de IKE es V1. |
Algoritmo de cifrado |
Seleccione el mecanismo de cifrado adecuado. |
Algoritmo de autenticación |
Seleccione un algoritmo. El dispositivo utiliza este algoritmo para comprobar la autenticidad e integridad de un paquete. |
Grupo Deffie Hellman |
Seleccione un grupo. Los grupos Diffie-Hellman (DH) determinan la intensidad de la clave utilizada en el proceso de intercambio de claves. |
Segundos de por vida |
Seleccione una duración de una asociación de seguridad (SA) IKE. El rango válido es de 180 a 86400 segundos. |
Detección de pares muertos |
Active esta opción para permitir que las dos puertas de enlace determinen si la puerta de enlace del mismo nivel está activa y responde a los mensajes de detección de pares inactivos (DPD) que se negocian durante el establecimiento de IPsec. |
Modo DPD |
Seleccione un modo DPD.
|
Intervalo DPD |
Seleccione un intervalo en segundos para enviar mensajes de detección de pares muertos. El intervalo predeterminado es de 10 segundos con un intervalo válido de 2 a 60 segundos. |
Umbral DPD |
Seleccione el valor del umbral DPD de error. Esto especifica el número máximo de veces que se deben enviar los mensajes DPD cuando no hay respuesta del par. El número predeterminado de transmisiones es 5 veces con un rango válido de 1 a 5. |
Configuración avanzada |
|
General IKE ID |
Active esta opción para aceptar el ID de IKE par. Esta opción está desactivada de forma predeterminada. Si el ID de IKE general está habilitado, la opción ID de IKE se desactiva automáticamente. |
Autenticación IKEv2 re |
Seleccione una frecuencia de reautenticación. La reautenticación se puede deshabilitar estableciendo la frecuencia de reautenticación en 0. El intervalo válido es de 0 a 100. |
Soporte de fragmentación de IKEv2 re |
Habilite esta opción para dividir un mensaje IKEv2 grande en un conjunto de mensajes más pequeños para que no haya fragmentación en el nivel de IP. |
Tamaño de refragmentación de IKEv2 |
Seleccione el tamaño del paquete en el que se fragmentan los mensajes. De forma predeterminada, el tamaño es 576 bytes para IPv4 y el intervalo válido es de 570 a 1320 bytes. |
IKE ID |
Seleccione una de las siguientes opciones:
El ID de IKE solo es aplicable cuando el ID de IKE general está deshabilitado. |
NAT-T |
Habilite la traslación de direcciones de red (NAT-T) si el extremo dinámico está detrás de un dispositivo NAT. |
Manténgase vivo |
Seleccione un período en segundos para mantener viva la conexión. Se requiere NAT Keepalives para mantener la traducción NAT durante la conexión entre los pares VPN. El rango válido es de 1 a 300 segundos. |
Configuración de IPSec |
|
Protocolo |
Seleccione el protocolo necesario para establecer la VPN.
|
Algoritmo de cifrado |
Seleccione el método de cifrado. Esta opción es aplicable si el protocolo es ESP. |
Algoritmo de autenticación |
Seleccione un algoritmo. El dispositivo utiliza estos algoritmos para verificar la autenticidad e integridad de un paquete. |
Confidencialidad directa perfecta |
Seleccione Perfect Forward Secrecy (PFS) como el método que utiliza el dispositivo para generar la clave de cifrado. El PFS genera cada nueva clave de cifrado independientemente de la clave anterior. Los grupos numerados más altos proporcionan más seguridad, pero requieren más tiempo de procesamiento. |
Establecer túnel |
Seleccione una opción para especificar cuándo se activa IKE.
|
Configuración avanzada |
|
Monitor VPN |
Active esta opción para enviar el Protocolo de mensajes de control de Internet (ICMP) para determinar si la VPN está activa. |
Optimizado |
Active esta opción para optimizar la supervisión de VPN y configure los firewalls de la serie SRX para enviar solicitudes de eco ICMP, también denominadas pings, solo cuando haya tráfico saliente y no haya tráfico entrante desde el par configurado a través del túnel VPN. Si hay tráfico entrante a través del túnel VPN, los firewalls de la serie SRX consideran que el túnel está activo y no envían pings al par. |
Anti repetición |
Active esta opción para que el mecanismo IPsec proteja contra un ataque VPN que use una secuencia de números integrada en el paquete IPsec. IPsec no acepta un paquete para el que ya haya visto el mismo número de secuencia. Comprueba los números de secuencia y aplica la comprobación en lugar de simplemente ignorar los números de secuencia. Deshabilite esta opción si hay un error con el mecanismo IPsec que da como resultado paquetes fuera de orden, lo que impide su correcto funcionamiento. De forma predeterminada, la detección Anti-Replay está habilitada. |
Intervalo de instalación |
Seleccione el número máximo de segundos que desea permitir la instalación de una asociación de seguridad saliente (SA) con nueva clave en el dispositivo. |
Tiempo de inactividad |
Seleccione el intervalo de tiempo de inactividad adecuado. Las sesiones y sus traducciones correspondientes suelen agotar el tiempo de espera después de un cierto período si no se recibe tráfico. |
Bit DF |
Seleccione una opción para procesar el bit No fragmentar (DF) en los mensajes IP.
|
Copiar DSCP externo |
Active esta opción para permitir la copia del campo Punto de código de servicios diferenciados (DSCP) del paquete cifrado con encabezado IP externo al mensaje de texto sin formato del encabezado IP interno en la ruta de descifrado. La ventaja de habilitar esta opción es que, después del descifrado de IPsec, los paquetes de texto sin cifrar pueden seguir las reglas internas de clase de servicio (CoS). |
Segundos de por vida |
Seleccione una duración en segundos de una asociación de seguridad (SA) IKE. El rango válido es de 180 a 86.400 segundos. |
Kilobytes de por vida |
Seleccione la duración en kilobytes de una asociación de seguridad (SA) IPsec. El rango es de 64 a 4294967294 kilobytes. |