Ejemplo: configurar una VPN IPsec entre un firewall virtual vSRX y una puerta de enlace de red virtual en Microsoft Azure
En este ejemplo, se muestra cómo configurar una VPN IPsec entre una instancia de firewall virtual vSRX y una puerta de enlace de red virtual en Microsoft Azure.
Antes de empezar
Asegúrese de que ha instalado y lanzado una instancia de firewall virtual vSRX en la red virtual de Microsoft Azure.
Consulte Generador de configuración de sitio a sitio DE SRX y Cómo solucionar problemas de un túnel VPN que está inactivo o no activo para obtener información adicional.
Visión general
Puede usar una VPN IPsec para proteger el tráfico entre dos VNET en Microsoft Azure, con un firewall virtual vSRX que protege una red virtual y la puerta de enlace de red virtual de Azure que protege la otra red virtual.
Configuración vpn IPsec del firewall virtual vSRX
Procedimiento
Procedimiento paso a paso
Para configurar VPN IPsec en el firewall virtual vSRX:
Inicie sesión en el firewall virtual vSRX en modo de edición de configuración (consulte Configurar vSRX mediante la CLI).
Establezca las direcciones IP para las interfaces del firewall virtual vSRX.
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.10/24 set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.10/24 set interfaces st0 unit 1 family inet address 10.0.250.10/24
Configure la zona de seguridad de no confianza.
set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces st0.1
Configure la zona de seguridad de confianza.
set security zone trust host-inbound-traffic system-services https set security zone trust host-inbound-traffic system-services ssh set security zone trust host-inbound-traffic system-services ping set security security-zone trust interfaces ge-0/0/1.0
Configure ICR.
set security ike proposal ike-phase1-proposalA authentication-method pre-shared-keys set security ike proposal ike-phase1-proposalA dh-group group2 set security ike proposal ike-phase1-proposalA authentication-algorithm sha-256 set security ike proposal ike-phase1-proposalA encryption-algorithm aes-256-cbc set security ike policy ike-phase1-policyA mode main set security ike policy ike-phase1-policyA proposals ike-phase1-proposalA set security ike policy ike-phase1-policyA pre-shared-key ascii-text <preshared-key> set security ike gateway gw-siteB ike-policy ike-phase1-policyA set security ike gateway gw-siteB address 52.175.210.65 set security ike gateway gw-siteB version v2-only set security ike gateway gw-siteB external-interface ge-0/0/0.0
Nota:Asegúrese de reemplazar
52.175.210.65en este ejemplo con la dirección IP pública correcta.Configure IPsec.
En el siguiente ejemplo, se muestra una configuración IPsec del firewall virtual vSRX mediante el algoritmo de cifrado CBC:
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-cbc set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
Si es necesario, puede usar AES-GCM como algoritmo de cifrado en la configuración IPsec del firewall virtual vSRX en lugar de CBC:
set security ipsec proposal ipsec-proposalA protocol esp set security ipsec proposal ipsec-proposalA encryption-algorithm aes-256-gcm set security ipsec proposal ipsec-proposalA lifetime-seconds 7200 set security ipsec proposal ipsec-proposalA lifetime-kilobytes 102400000 set security ipsec policy ike-phase1-policyA proposals ipsec-proposalA set security ipsec vpn ike-vpn-siteB bind-interface st0.1 set security ipsec vpn ike-vpn-siteB ike gateway gw-siteB set security ipsec vpn ike-vpn-siteB ike ipsec-policy ike-phase1-policyA set security ipsec vpn ike-vpn-siteB establish-tunnels immediately
Configure el enrutamiento.
set routing-instances siteA-vr1 instance-type virtual-router set routing-instances siteA-vr1 interface ge-0/0/0.0 set routing-instances siteA-vr1 interface ge-0/0/1.0 set routing-instances siteA-vr1 interface st0.1 set routing-instances siteA-vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.0.1 set routing-instances siteA-vr1 routing-options static route 10.20.20.0/24 next-hop st0.1 commit
Configuración de puerta de enlace de red virtual de Microsoft Azure
Procedimiento
Procedimiento paso a paso
Para configurar la puerta de enlace de red virtual de Microsoft Azure, consulte el siguiente procedimiento de Microsoft Azure:
Configurar la política de IPsec/IKE para conexiones VPN S2S o VNet a VNet
Asegúrese de que los parámetros de ICR IPSec en la puerta de enlace de red virtual de Microsoft Azure coincidan con los parámetros de IKE IPSec del firewall virtual vSRX cuando se forma la conexión VPN de sitio a sitio.
Verificar túneles VPN activos.
Compruebe que el túnel está activo entre la instancia del firewall virtual vSRX y la puerta de enlace de red virtual de Azure.
root@> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address 8290401 UP b1adf15fc3dfe0b0 89cc2a12cb7e3cd7 IKEv2 52.175.210.65
root@> show security ipsec security-associations
Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes-gcm-256/None c0e154e2 5567/ 102399997 - root 4500 52.175.210.65 >131073 ESP:aes-gcm-256/None 383bd606 5567/ 102399997 - root 4500 52.175.210.65