Professional Documents
Culture Documents
VPN Ipsec
VPN Ipsec
dispositivos de seguridad
Published
2021-05-03
ii
Juniper Networks, the Juniper Networks logo, Juniper, and Junos are registered trademarks of Juniper Networks, Inc.
in the United States and other countries. All other trademarks, service marks, registered marks, or registered service
marks are the property of their respective owners.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right
to change, modify, transfer, or otherwise revise this publication without notice.
The information in this document is current as of the date on the title page.
Juniper Networks hardware and software products are Year 2000 compliant. Junos OS has no known time-related
limitations through the year 2038. However, the NTP application is known to have some difficulty in the year 2036.
The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use
with) Juniper Networks software. Use of such software is subject to the terms and conditions of the End User License
Agreement ("EULA") posted at https://support.juniper.net/support/eula/. By downloading, installing or using such
software, you agree to the terms and conditions of that EULA.
iii
Contents
Acerca de esta guía | xxvii
1 Fundamentos de la PKI
Infraestructura de clave pública (PKI) | 2
2 Fundamentos de IPsec
Intercambio de claves por red | 10
ID de proxy | 17
Selectores de tráfico | 17
Fundamentos de IPsec | 20
3 PKI en Junos OS
PKI en Junos OS | 32
Certificados digitales | 37
Aplicables | 40
Descripción general | 40
Automática | 41
Comproba | 41
Aplicables | 42
Descripción general | 42
Automática | 42
Comproba | 43
Autoridad de certificación | 44
Aplicables | 50
Descripción general | 50
Automática | 50
Comproba | 52
v
Inscripción de certificados | 53
Aplicables | 56
Descripción general | 57
Automática | 58
Comproba | 59
Aplicables | 59
Descripción general | 59
Automática | 60
Comproba | 61
Aplicables | 65
Descripción general | 65
Automática | 66
Comproba | 66
Aplicables | 67
Descripción general | 67
Automática | 68
Comproba | 68
Revocación de certificados | 70
vi
Aplicables | 74
Descripción general | 74
Automática | 74
Comproba | 75
Aplicables | 78
Descripción general | 78
Automática | 79
Comproba | 79
Aplicables | 80
Descripción general | 80
Automática | 80
Comproba | 81
Validación de certificados | 82
Aplicables | 89
Descripción general | 90
Automática | 90
Comproba | 91
Ejemplo Configurando un dispositivo para validación de cadena de certificado de mismo nivel | 117
Aplicables | 117
Automática | 118
Comproba | 127
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas | 166
Opciones de configuración recomendadas para VPN de sitio a sitio o de acceso telefónico con
direcciones IP dinámicas | 167
Aplicables | 177
Automática | 178
Comproba | 183
Aplicables | 185
Automática | 199
Comproba | 231
Aplicables | 246
Automática | 252
Comproba | 267
ix
Aplicables | 273
Automática | 277
Comproba | 290
Configure VPN IPsec con OCSP para el estado de revocación de certificados | 309
Aplicables | 310
Automática | 314
Comproba | 325
Aplicables | 348
Automática | 349
Comproba | 351
Ejemplo Configuración de una VPN AutoKey de IPv6 ICR basada en políticas | 352
Aplicables | 352
Automática | 360
Comproba | 374
Aplicables | 382
Automática | 387
Comproba | 401
Aplicables | 409
Automática | 414
Comproba | 429
Ejemplo Configurando el serie SRX para el aprovisionamiento pico de celda con carga de
configuración IKEv2 | 435
Aplicables | 436
Automática | 442
Comproba | 463
Comprensión de la compatibilidad con enrutadores virtuales para redes VPN basadas en rutas | 472
Aplicables | 474
Automática | 474
Comproba | 480
Ejemplo Configuración de túneles de pila dual a través de una interfaz externa | 485
Aplicables | 485
Automática | 489
Comproba | 495
Comprensión de los clústeres de chasis de VPN IPsec de reserva activa dual | 500
Aplicables | 502
Automática | 506
Comproba | 510
Aplicables | 520
Automática | 522
Comproba | 536
Aplicables | 550
Automática | 554
Comproba | 575
9 TDR-T
VPN basadas en la ruta y en la Directiva con TDR-T | 585
Ejemplo Configuración de una VPN basada en ruta solo con el contestador detrás de un
dispositivo TDR | 587
Aplicables | 587
Automática | 595
xii
Comproba | 620
Aplicables | 629
Automática | 637
Comproba | 668
Aplicables | 679
Automática | 681
Comproba | 697
10 VPN de grupo
Agrupar VPNv1 | 704
Ejemplo Configuración del servidor y los miembros del VPNv1 de grupo | 720
Aplicables | 720
Automática | 722
Comproba | 739
Ejemplo Configurar VPNv1 de grupo \ comunicación de miembro del servidor para mensajes de
regeneración de claves de unidifusión | 742
Aplicables | 742
Automática | 743
Comproba | 744
xiii
Ejemplo Configuración de VPNv1 de grupo \ comunicación del miembro del servidor para
mensajes de regeneración de claves de multidifusión | 744
Aplicables | 744
Automática | 745
Comproba | 747
Ejemplo Configurar VPNv1 de grupo con coubicación de miembros del servidor | 748
Aplicables | 749
Automática | 750
Comproba | 759
Descripción del proceso del VPNv2 de la prueba de recuperación del grupo | 773
Aplicables | 775
Automática | 777
Comproba | 813
Ejemplo Configurar VPNv2 de grupo \ comunicación de miembro del servidor para mensajes de
regeneración de claves de unidifusión | 822
Aplicables | 822
Automática | 823
Comproba | 823
Descripción de los mensajes del clúster del servidor VPNv2 de grupo | 831
Descripción de los cambios de configuración con clústeres de servidores de VPNv2 de grupo | 833
Migrar un grupo independiente VPNv2 servidor a un grupo VPNv2 clúster de servidores | 839
Aplicables | 841
Automática | 845
Comproba | 915
11 ADVPN
Detección automática de VPN | 930
Descripción del enrutamiento del tráfico con túneles de acceso directo | 936
Aplicables | 940
Automática | 946
Comproba | 971
Aplicables | 996
Automática | 1000
Comproba | 1030
Permitir que OSPF actualice las rutas rápidamente después de establecer los túneles de
ADVPN | 1033
12 AutoVPN
AutoVPN en dispositivos concentrados y radiales | 1036
Aplicables | 1044
Automática | 1048
Comproba | 1076
Ejemplo Configuración de AutoVPN básicos con iBGP para el tráfico de IPv6 | 1080
Aplicables | 1080
Automática | 1085
Comproba | 1115
Aplicables | 1119
Automática | 1124
Comproba | 1149
Ejemplo Configuración de AutoVPN con túneles de iBGP y de copia de seguridad activa | 1154
Aplicables | 1154
Automática | 1160
Comproba | 1185
Aplicables | 1193
Automática | 1197
Comproba | 1223
Aplicables | 1227
Automática | 1232
Comproba | 1261
xvi
Ejemplo Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico | 1265
Aplicables | 1265
Automática | 1270
Comproba | 1283
Ejemplo Cómo garantizar la disponibilidad del túnel VPN con AutoVPN y los selectores de
tráfico | 1288
Aplicables | 1288
Automática | 1292
Comproba | 1313
Descripción de VPN de IPsec con cliente de acceso remoto NCP exclusivo | 1320
Descripción de VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo | 1325
Ejemplo Configuración del dispositivo de serie SRX para clientes de acceso remoto NCP y
exclusivos | 1329
Aplicables | 1329
Automática | 1333
Comproba | 1344
Aplicables | 1358
Automática | 1363
Comproba | 1371
Aplicables | 1374
Automática | 1375
xvii
Comproba | 1377
Aplicables | 1378
Automática | 1381
Comproba | 1387
Aplicables | 1389
Automática | 1393
Comproba | 1404
14 Supervisión de VPN
Supervisión del tráfico VPN | 1411
Ejemplo Configuración de una alerta sonora como notificación de una alarma de seguridad | 1420
Aplicables | 1420
Automática | 1420
Comproba | 1421
Aplicables | 1422
Automática | 1423
Comproba | 1426
Aplicables | 1450
Automática | 1451
Comproba | 1454
Aplicables | 1455
Automática | 1456
Comproba | 1461
Aplicables | 1462
Automática | 1463
Comproba | 1468
Aplicables | 1469
Automática | 1470
Comproba | 1473
Descripción de la interfaz de bucle invertido para una VPN de alta disponibilidad | 1475
Aplicables | 1477
Automática | 1478
Comproba | 1481
Aplicables | 1482
Automática | 1483
Comproba | 1488
Aplicables | 1489
Automática | 1490
Comproba | 1495
Aplicables | 1496
Automática | 1497
Comproba | 1500
Descripción de la interfaz de bucle invertido para una VPN de alta disponibilidad | 1502
16 Solución de problemas
Solución de problemas de un túnel VPN de flapping | 1504
Solución de problemas de una VPN que está en servicio pero no pasa tráfico | 1507
17 Instrucciones de configuración
AAA | 1524
advpn | 1531
certificado | 1544
archiva | 1579
xxi
ike-phase1-failures | 1616
ike-phase2-failures | 1618
IPSec-Directiva | 1635
varios SA | 1649
pública | 1654
power-mode-ipsec-qat | 1667
TCP-encap | 1713
xxiii
Verify-path | 1737
xauth-atributos | 1752
18 Comandos operativos
borrar seguridad dinámica-VPN All | 1758
Mostrar las estadísticas del servidor VPN del grupo de seguridad | 1914
Utilice esta guía para configurar, supervisar y administrar la característica VPN de IPsec en Junos OS en
los dispositivos serie SRX con el fin de permitir comunicaciones seguras en una WAN pública, como
Internet.
VÍNCULOS RELACIONADOS
Fundamentos de la PKI
in this section
Introducción a la PKI | 2
Certificado digital | 3
Autoridad de certificación | 3
Validación de certificados | 7
En este tema se describe la descripción general de la infraestructura de clave pública e incluye las
siguientes secciones:
Introducción a la PKI
La infraestructura de clave pública (PKI) proporciona una forma de comprobar la identidad de un sitio
remoto mediante un certificado digital. La PKI utiliza una autoridad de certificación (AC) para validar su
información y firmarla con una firma digital de manera tal que ni su información ni la firma se puedan
modificar. Una vez firmado, la información se convierte en un certificado digital. Los dispositivos que
reciben un certificado digital pueden comprobar la información del certificado validando la firma
mediante criptografía de clave pública.
• Autoridad de registro (AR) que verifica las identidades de las entidades, habilita sus solicitudes de
certificado y genera pares únicos de claves asimétricas (a menos que las solicitudes de certificado de
los usuarios ya contengan claves públicas)
• Autoridad de certificación (AC) que emite los certificados digitales correspondientes para las
entidades solicitantes.
3
• Una lista de revocación de certificados (CRL) que identifica los certificados que ya no son válidos.
Cada entidad que posea la clave pública auténtica de AC puede comprobar los certificados emitidos
por dicha entidad AC.
Certificado digital
Un certificado digital es un archivo electrónico que verifica la identidad del titular del certificado para
proteger los datos intercambiados en línea. Los certificados digitales proporcionan una forma de
autenticar a los usuarios a través de un tercero de confianza llamado autoridad de certificación (AC). El
AC valida la identidad de un titular de certificado y "firma" el certificado para dar fe de que no se ha
forjado ni modificado. De manera alternativa, puede usar un certificado autofirmado para atestiguar su
identidad.
Un par de claves es un elemento crítico de una implementación de certificado digital. La clave pública se
incluye en el certificado digital local y la clave privada se usa para descifrar los datos recibidos de los
pares.
Los certificados tienen una vida útil limitada y se definen por una hora de inicio y una hora de
finalización. El certificado deja de ser válido cuando caduca el tiempo de vida útil. Cuando el certificado
caduca, se requiere una renovación de certificado o una nueva solicitud de certificado.
Autoridad de certificación
Un AC es una organización de terceros de confianza que crea, inscribe, valida y revoca certificados
digitales. El AC garantiza la identidad de un usuario y emite claves públicas y privadas para el cifrado y
descifrado de mensajes (codificación y decodificación). Un AC también genera listas de revocación de
certificados (CRL) que son listas de certificados revocados.
Cuando se configura una PKI, debe incluir claves públicas y privadas que se generan en pares y se
vinculan de forma matemática.
Cuando se solicita el certificado, debe incluir la clave pública en la solicitud de inscripción del certificado.
La clave pública se incluirá en el certificado concedido y la clave privada se mantendrá en el dispositivo
solicitante. Un mensaje cifrado con la clave pública se puede descifrar mediante la clave privada
correspondiente. El par de claves pública y privada también se utiliza para crear firmas digitales.
4
• Inscripción manual de certificados: este proceso incluye la generación de una solicitud PKCS10, el
envío a la autoridad de certificación (AC), la extracción del certificado firmado y la carga manual del
certificado en el dispositivo de Junos OS como certificado local.
• Protocolo de estado de certificado (OCSP) en línea: OCSP se usa para comprobar el estado de
revocación de certificados X509. El OCSP proporciona estado de revocación en certificados en
tiempo real y es útil en situaciones sensibles al tiempo, como transacciones bancarias y intercambios
de acciones
La infraestructura de clave pública (PKI) permite a los usuarios autenticarse entre sí mediante
certificados digitales emitidos por AC. La PKI utiliza X.509, Estándares de criptografía de clave pública
(PKI) para definir los formatos estándar de los certificados y su uso. En la PKI, un solicitante utiliza una
solicitud de firma de certificado (RSES) para solicitar un certificado digital a una autoridad de
certificación (AC). La solicitud puede estar en uno de los estándares:
• x509-signaturere.
5
El servidor de entidad emisora de certificados que utilice puede ser propiedad de una entidad emisora
de certificados independiente o de su propia organización, en cuyo caso se convertirá en su propia
entidad emisora de certificados. Si utiliza una entidad emisora de certificados independiente, debe
ponerse en contacto con ellos para obtener las direcciones de los servidores de la entidad emisora y la
lista de revocación del certificado (para obtener certificados y CRL), así como la información que
necesiten cuando envíe solicitudes de certificados personales. Cuando usted sea su propia entidad
emisora de certificados, determine esta información.
El AC que emite un certificado utiliza un algoritmo hash para generar un resumen y, luego, "firma" el
certificado cifrando el resumen con su clave privada. El resultado es una firma digital. A continuación, la
entidad emisora crea el certificado firmado digitalmente para que pueda descargarse a la persona que lo
solicitó. Figura 1 en la página 6 ilustra este proceso.
El destinatario del certificado genera otro compendio aplicando el mismo algoritmo hash al archivo de
certificado y, a continuación, utiliza la clave pública de la entidad emisora para descifrar la firma digital.
Mediante la comparación del compendio descifrado con el resumen que se acaba de generar, el
destinatario puede confirmar la integridad de la firma de la entidad emisora y, por extensión, la
integridad del certificado que lo acompaña. Figura 1 en la página 6 ilustra este proceso.
6
Un certificado se considera válido si se puede comprobar la firma digital y el número de serie del
certificado no aparece en una lista de revocaciones de certificados.
Cuando se utilizan firmas de algoritmo de firma digital (DSA), se utiliza el algoritmo hash SHA-1 para
generar el resumen. Cuando se utilizan firmas de Rivest-Shamir-Adleman (RSA), SHA-1 es el algoritmo
hash predeterminado que se utiliza para generar la síntesis; puede especificar el algoritmo de hash
SHA-256 con la digest opción de los request security pki generate-certificate-request comandos
request security pki local-certificate generate-self-signed o. Cuando se utilizan firmas de algoritmos de
firma digital de curva elíptica (ECDSA), el algoritmo de hash SHA-256 se usa para firmas ECDSA-256 y el
algoritmo de hash SHA-384 se usa para firmas ECDSA-384.
A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que se utiliza para validar
certificados de PKI autofirmados automáticamente y generados manualmente es SHA-256 (algoritmo de
hash seguro 256). Antes de Junos OS Release 18.1 R3, se utiliza SHA-1 como algoritmo predeterminado
de cifrado.
7
Validación de certificados
Para comprobar la confiabilidad de un certificado, debe ser capaz de realizar el seguimiento de una ruta
de acceso de las entidades emisoras de certificados (CA) certificadas desde la que emite el certificado
local a la entidad raíz de un dominio de CA. La infraestructura de claves públicas (PKI) se refiere a la
estructura jerárquica de confianza necesaria para la correcta implementación de la criptografía mediante
claves públicas.
Si los certificados se utilizan únicamente dentro de una organización, dicha organización puede tener su
propio dominio de CA en el que la entidad emisora de certificados de la empresa emita y validen las
certificaciones de sus empleados. Si esa organización desea que sus empleados intercambien sus
certificados con certificados de otro dominio de entidad emisora (por ejemplo, con empleados de otra
organización que tenga su propio dominio de entidad emisora), las dos entidades emisoras de
certificados pueden desarrollar certificaciones cruzadas al aceptar Confíe en la autoridad entre sí. En
8
este caso, la estructura de PKI no se extiende verticalmente pero se extiende horizontalmente. Consulte
Figura 3 en la página 8la.
release-history
18.1R3 A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que se utiliza
para validar certificados de PKI autofirmados automáticamente y generados manualmente es
SHA-256 (algoritmo de hash seguro 256). Antes de Junos OS Release 18.1 R3, se utiliza
SHA-1 como algoritmo predeterminado de cifrado.
2
CHAPTER LABEL COVER PAGE
Fundamentos de IPsec
Fundamentos de IPsec | 20
10
in this section
ID de proxy | 17
Selectores de tráfico | 17
Intercambio de claves por red (ICR) es un protocolo de administración de claves seguras que se usa para
configurar un canal de comunicaciones seguro y autenticado entre dos dispositivos.
• Proporciona autenticación de par mutuo mediante secretos compartidos (no contraseñas) y claves
públicas
• Emplea métodos Diffie-Hellman y es opcional en IPsec (las claves compartidas se pueden especificar
manualmente en los puntos de conexión).
11
• ICR versión 2 - ICR versión 2 (IKEv2) es la última versión del protocolo ICR definido en la RFC 7296.
Intercambio de claves por red versión 2 (IKEv2) es la versión más reciente del protocolo Intercambio de
claves por red (ICR) definido en RFC 7296. Intercambio de claves por red versión 2 (IKEv2) es la versión
más reciente del protocolo Intercambio de claves por red (ICR) definido en RFC 7296. Una VPN peer
está configurada como IKEv1 o IKEv2. Cuando un elemento del mismo nivel se configura como IKEv2,
no puede recurrir a IKEv1 si su punto de conexión remoto inicia la negociación de IKEv1.
• Mejora la confiabilidad, ya que todos los mensajes son solicitudes o respuestas. El iniciador es
responsable de retransmitir si no recibe ninguna respuesta.
• Intercambio de claves por red (ICR): IPsec admite la generación y negociación automatizadas de
claves y asociaciones de seguridad mediante el ICR seguro. El ICR para negociar VPN entre dos
puntos de conexión proporciona más seguridad que el intercambio manual de claves.
• Intercambio manual de claves: IPsec admite el uso e intercambio manual de claves (ejemplo: teléfono
o correo electrónico) en ambos lados para establecer VPN.
12
• Fase 2: negociar asociaciones de seguridad (SA) para proteger los datos que atraviesan el túnel IPsec.
in this section
Modo principal | 13
La fase 1 de una negociación de túnel Intercambio de claves por red clave automática (ICR) consiste en
el intercambio de propuestas para autenticar y proteger el canal. Los participantes intercambiarán
propuestas de servicios de seguridad aceptables, tales como:
• Algoritmos de cifrado: estándar de cifrado de datos (DES), triple estándar de cifrado de datos (3DES)
y estándar de cifrado avanzado (AES). (Consulte Introducción a IPSec VPN.)
• Algoritmos de autenticación: síntesis del mensaje 5 (MD5) y algoritmo de hash seguro (SHA).
(Consulte Introducción a IPSec VPN.)
Una negociación exitosa de fase 1 concluye cuando ambos extremos del túnel acuerdan aceptar al
menos un conjunto de los parámetros de seguridad de fase 1 propuestos y, luego, procesarlos. Juniper
Networks admiten hasta cuatro propuestas para negociaciones de fase 1, lo que le permite definir cómo
restrictivo va a aceptar un rango de parámetros de seguridad para la negociación de claves. Junos OS
proporciona conjuntos predefinidos de propuestas para la fase 1, compatible y estándar También puede
definir propuestas personalizadas de fase 1.
Los intercambios de fase 1 pueden tener lugar en el modo principal o en el modo agresivo. Puede elegir
el modo durante ICR configuración de políticas.
Modo principal
• Primer intercambio (mensajes 1 y 2): propone y acepta los algoritmos de cifrado y autenticación.
• Tercer intercambio (mensajes 5 y 6): envía y verifica las identidades del iniciador y el destinatario.
En el modo intenso, el iniciador y el destinatario logran los mismos objetivos que con el modo principal,
pero solo en dos intercambios, con un total de tres mensajes:
Cuando configure el modo intenso con varias propuestas para las negociaciones de la fase 1, utilice el
mismo grupo DH en todas las propuestas, ya que no se puede negociar el grupo DH. Se pueden
configurar hasta cuatro propuestas.
Dado que las identidades de los participantes se intercambian sin formato (en los dos primeros
mensajes), el modo agresivo no proporciona protección de identidad.
Los modos principal y intenso solo se aplican al protocolo IKEv1. El protocolo IKEv2 no negocia el uso de
los modos principal y agresivo.
SEE ALSO
in this section
IDs de proxy | 14
Después de que los participantes han establecido un canal seguro y autenticado, avanzan en la fase 2,
en la cual negocian asociaciones de seguridad (SA) para proteger los datos que se transmitirán a través
del túnel IPSec.
De manera similar al proceso de la fase 1, los participantes intercambian propuestas para determinar qué
parámetros de seguridad se emplearán en la SA. Una propuesta de fase 2 también incluye un protocolo
de seguridad (carga de seguridad de encapsulación (ESP) o encabezado de autenticación (AH) y
algoritmos de cifrado y autenticación seleccionados. La propuesta también puede especificar un grupo
Diffie-Hellman (DH) si se desea una confidencialidad directa perfecta (PFS).
Independientemente del modo usado en la fase 1, la fase 2 siempre funciona en modo rápido e implica
el intercambio de tres mensajes.
IDs de proxy
En la fase 2, los identificadores de proxy Exchange del mismo nivel. El ID de proxy se compone de un
prefijo de dirección IP local y remota. El ID. de proxy de ambos interlocutores debe coincidir, lo que
significa que la dirección IP local especificada para un interlocutor debe ser la misma que la dirección IP
remota especificada para el otro interlocutor.
PFS es un método para derivar claves de fase 2 independientes de las claves anteriores y no
relacionadas con estas. Como alternativa, la propuesta de fase 1 crea la clave (SKEYID_d clave) desde la
cual se derivan todas las claves de fase 2. La SKEYID_d clave puede generar claves de fase 2 con un
mínimo de procesamiento de CPU. Desafortunadamente, si una parte no autorizada obtiene acceso a la
clave SKEYID_d, todas sus claves de cifrado se verán comprometidas.
15
PFS resuelve este riesgo de seguridad forzando un nuevo intercambio de claves DH para que se
produzca en cada túnel de fase 2. Por lo tanto, el uso de PFS es más seguro, aunque el procedimiento de
reclame en la fase 2 podría tardar un poco más con PFS habilitado.
Un ataque de reproducción se produce cuando una persona no autorizada intercepta una serie de
paquetes y los utiliza más tarde para inundar el sistema, causando un ataque de denegación de servicio
(DoS), o para obtener acceso a la red de confianza. Junos OS proporciona una característica de
protección contra reproducción que permite que los dispositivos comprueben todos los paquetes IPsec
para ver si se han recibido anteriormente. Si los paquetes llegan fuera de un rango de secuencia
especificado, Junos OS los rechazará. El uso de esta característica no requiere negociación, ya que los
paquetes siempre se envían con números de secuencia. Sólo tiene la opción de activar o no la
comprobación de los números de secuencia.
SEE ALSO
in this section
Fragmentación ikEv2 | 16
ICR versión 2 es el sucesor del método IKEv1. Proporciona un canal de comunicación VPN seguro entre
dispositivos VPN par y define la negociación y autenticación para asociaciones de seguridad IPsec (SA)
de forma protegida.
La IKEv2 no incluye las fases 1 y 2 similares a las de IKEv1, pero se producen cuatro intercambios de
mensajes para negociar un túnel IPsec con IKEv2. El intercambio de mensajes en IKEv2 es:
16
• Negocia los atributos de seguridad para establecer el túnel IPsec. Esto incluye intercambiar los
protocolos o parámetros utilizados, y los grupos Diffie-Hellman.
• Cada par establece o autentica sus identidades mientras se establece el túnel IPsec.
La carga de configuración es una opción IKEv2 que se ofrece para propagar la información de
aprovisionamiento de un respondedor a un iniciador. La carga de configuración de IKEv2 solo se admite
con VPN basadas en rutas.
RFC 5996, protocolo Intercambio de claves por red versión 2 (IKEv2), define 15 atributos de
configuración diferentes que el respondedor puede devolver al iniciador.
El cambio de claves establece nuevas claves para el SA (ICR Security Association) y restablece los
contadores de ID de mensajes, pero no reautentica los homólogos.
La nueva autenticación comprueba que los homólogos VPN conservan su acceso a las credenciales de
autenticación. La reautenticación establece claves nuevas para el ICR SA y las SA secundarias; ya no son
necesarias las claves de cualquier SA pendiente ICR o SA secundaria. Después de que se crean las
nuevas SA de ICR y secundarias, se eliminan el ICR antiguo y las SA secundarias.
Fragmentación ikEv2
Cuando se usa la autenticación basada en certificados, los paquetes IKEv2 pueden superar la MTU de
ruta de acceso si se transmiten varios certificados. Si el tamaño del mensaje ICR supera la unidad MTU
de ruta de acceso, los mensajes se fragmentan en el nivel de IP. Algunos equipos de red, como los
17
dispositivos TDR, no permiten que pasen los fragmentos de IP, lo que impide el establecimiento de
túneles IPsec.
La fragmentación de mensajes IKEv2, tal como se describe en RFC 7383, fragmentación de mensajes del
protocolo Intercambio de claves por red versión 2 (IKEv2), permite que IKEv2 funcione en entornos en
los que es posible que se bloqueen fragmentos de IP y los pares no puedan establecer una asociación de
seguridad IPsec (SA). La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de
otros más pequeños, de modo que no hay fragmentación en el nivel de IP. La fragmentación tiene lugar
antes de que el mensaje original se cifre y se autentique, de forma que cada fragmento se cifre y se
autentique por separado. En el receptor, los fragmentos se recolectan, comprueban, descifran y se
combinan en el mensaje original.
Puede configurar selectores de tráfico en IKEv2 usados durante ICR negociación. Un selector de tráfico
es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel VPN si el tráfico
coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico que se
ajusta a un selector de tráfico a través de la Asociación de seguridad (SA) asociada. Durante la creación
de túnel, se utilizan selectores de tráfico para configurar el túnel y determinar qué tráfico se permite a
través del túnel.
ID de proxy
Se utiliza un ID de proxy durante la fase 2 de Intercambio de claves por red (ICR) negociaciones de red
privada virtual (VPN). Ambos extremos de un túnel VPN tienen un ID de proxy configurado
manualmente (VPN basada en rutas) o simplemente utilizan una combinación de IP de origen, IP de
destino y servicio en una política de túnel. Cuando se negocia la fase 2 ICR, cada extremo compara el ID
de proxy local y remoto configurado con lo que realmente se recibe.
Selectores de tráfico
El ID de proxy se admite para VPN basadas en rutas y basadas en directivas. Sin embargo, el ID. de
varios proxies sólo es compatible con VPN basadas en rutas. El ID. de proxy múltiple también se conoce
como el selector de tráfico. Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el
tráfico a través de un túnel, si el tráfico coincide con un par especificado de direcciones locales y
remotas. Un selector de tráfico se define dentro de una VPN basada en ruta específica, lo que puede dar
como resultado varias SA de IPsec de fase 2. Solo se permite el tráfico que se ajusta a un selector de
tráfico a través de una SA. Normalmente, el selector de tráfico es necesario cuando los dispositivos de
puerta de enlace remota son dispositivos no Juniper Networks.
18
La ICR negociación proporciona la capacidad de establecer un canal seguro mediante el cual dos partes
puedan comunicarse. Puede definir cómo las dos partes se autentican entre sí mediante una
autenticación de clave previamente compartida o una autenticación basada en certificados.
Forma común de establecer una conexión VPN. Una forma segura de establecer
una conexión VPN.
Las partes se autentican entre sí mediante el cifrado de la clave Las partes verifican los certificados
previamente compartida con la clave pública del par, la cual se para confirmar si están firmados
obtiene en el intercambio Diffie-Hellman. por un proveedor de AC.
Las claves previamente compartidas se implementan por lo Los certificados también son
general para VPN IPsec de sitio a sitio, ya sea dentro de una mucho más idóneos en entornos a
sola organización o entre diferentes organizaciones. gran escala con muchos sitios pares
que no todos deberían compartir
una clave previamente compartida.
19
Cualquier cambio en el direccionamiento IP, que es la función de TDR, hace que ICR descarte los
paquetes. Después de detectar uno o más dispositivos TDR a lo largo de la ruta de datos durante los
intercambios de fase 1, TDR-T agrega una capa de encapsulación del Protocolo de datagrama de usuario
(UDP) a los paquetes IPSec para que no se descarten después de la traducción de direcciones. TDR-T
encapsula el tráfico ICR y ESP dentro de UDP con el puerto 4500 que se utiliza como puerto de origen y
destino. Dado que TDR dispositivos caducan las traducciones UDP obsoletas, es necesario disponer de
mensajes de KeepAlive entre los interlocutores.
• Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo TDR. Varios iniciadores pueden estar
detrás de dispositivos de TDR independientes. Los iniciadores también se pueden conectar al
interlocutor que responde a través de varios dispositivos TDR.
Suite B es un conjunto de algoritmos de cifrado designados por la Agencia de seguridad nacional de EE.
UU. para permitir que los productos comerciales protejan el tráfico clasificado en los niveles secreto o
secreto principal. Los protocolos del conjunto B se definen en RFC 6379, Conjuntos criptográficos de
conjunto B para IPsec. Los conjuntos criptográficos Suite B proporcionan integridad y confidencialidad
para encapsular carga de seguridad (ESP) y deben utilizarse cuando se requiere protección de integridad
ESP y cifrado. Requisitos de protocolo para cifrado IP modular (PRIME), un perfil IPsec definido para
redes del sector público en el Reino Unido, se basa en la serie de servicios criptográficos Suite B, pero
utiliza AES-GCM en vez de AES-CBC para las negociaciones de IKEv2.
• Suite-B-GCM-128
• SENSORIAL El cifrado de la norma de cifrado avanzado (AES) con claves de 128 bits y el valor de
comprobación de la integridad de 16 octetos (ICV) en el modo de contador Galois (GCM).
20
• ICR: Cifrado AES con claves de 128 bits en modo de encadenamiento de bloques de cifrado
(CBC), integridad mediante autenticación SHA-256, establecimiento de claves con grupo Diffie-
Hellman (DH) 19 y autenticación usando el algoritmo de firma digital de curva elíptica (ECDSA)
256 elíptica de bits firmas de curva.
• Suite-B-GCM-256
• SENSORIAL Cifrado AES con claves de 256 bits y ICV de 16 octetos en GCM para ESP.
• ICR: Cifrado AES con claves de 256 bits en modo CBC, integridad mediante autenticación
SHA-384, establecimiento de claves con el grupo DH 20 y autenticación con firmas de curvas
elípticas de 384 de bits de ECDSA.
• PRIME-128
• SENSORIAL Cifrado AES con claves de 128 bits y ICV de 16 octetos en GCM.
• ICR: Cifrado AES con claves de 128 bits en GCM, el establecimiento de claves con el grupo DH 19
y la autenticación con firmas de curvas elípticas de 256 bits de ECDSA.
• PRIME-256
• SENSORIAL Cifrado AES con claves de 256 bits y ICV de 16 octetos en GCM para ESP.
• ICR: Cifrado AES con claves de 256 bits en GCM, el establecimiento de claves con el grupo DH 20
y la autenticación con firmas de curvas elípticas de 384 bits de ECDSA.
Los conjuntos criptográficos Suite-B son compatibles con IKEv1 e IKEv2. Los conjuntos criptográficos
PRIMOs solo admiten IKEv2.
Fundamentos de IPsec
in this section
in this section
Asociaciones de seguridad | 21
Para usar servicios de seguridad IPsec, se crean SA entre hosts. Una SA es una conexión símplex que
permite que dos hosts se comuniquen entre sí de manera segura por medio de IPsec. Hay dos tipos
deAS: manuales y dinámicos.
Asociaciones de seguridad
Una asociación de seguridad (SA) es un acuerdo unidireccional entre los participantes de la VPN en
relación con los métodos y parámetros que se utilizan para proteger un canal de comunicación. La
comunicación bidireccional completa requiere al menos dos SA, uno para cada dirección. A través de la
SA, un túnel IPsec puede proporcionar las siguientes funciones de seguridad:
Las funciones de seguridad que emplee dependerán de sus necesidades. Si sólo necesita autenticar el
origen del paquete IP y la integridad del contenido, puede autenticar el paquete sin aplicar ningún
cifrado. Por otro lado, si solo le preocupa conservar la privacidad, puede cifrar el paquete sin aplicar
ningún mecanismo de autenticación. Opcionalmente, puede cifrar y autenticar el paquete. La mayoría de
los diseñadores de seguridad de red deciden cifrar, autenticar y reproducir la protección de su tráfico
VPN.
22
Un túnel IPsec se compone de un par de SA unidireccionales (una SA para cada dirección del túnel) que
especifican el índice de parámetros de seguridad (SPI), la dirección IP de destino y el protocolo de
seguridad (encabezado de autenticación [AH] o la carga de seguridad de encapsulación [ESP] empleados.
Un SA agrupa los siguientes componentes para proteger las comunicaciones:
• Modo Protocolo, ya sea de transporte o de túnel. Los dispositivos Junos OS siempre utilizan el modo
de túnel. (Consulte "procesamiento de paquetes en modo de túnel" en la página 148.)
• Dirección IP de destino.
Para el tráfico de VPN saliente, la Directiva invoca la SA asociada con el túnel VPN.
in this section
Tecla manual | 23
AutoKey ICR | 23
Intercambio Diffie-Hellman | 24
La distribución y administración de claves son críticas para el uso correcto de VPN. Junos OS admite la
tecnología IPsec para crear túneles VPN con tres tipos de mecanismos de creación de claves:
• Tecla manual
Puede elegir su mecanismo de creación de claves (también llamado método de autenticación) durante la
configuración de la propuesta de fase 1 y fase 2. Consulte "Intercambio de claves por red" en la página
10.
Tecla manual
Con las claves manuales, los administradores de ambos extremos de un túnel configuran todos los
parámetros de seguridad. Se trata de una técnica viable para redes pequeñas y estáticas en las que la
distribución, el mantenimiento y el seguimiento de claves no son difíciles. Sin embargo, la distribución
segura de configuraciones clave manuales en grandes distancias plantea problemas de seguridad. Aparte
de pasar las teclas frontales, no puede estar completamente seguro de que las claves no se han visto
comprometidas durante la transmisión. Además, siempre que desee cambiar la clave, se le plantearán los
mismos problemas de seguridad que cuando lo distribuyó inicialmente.
AutoKey ICR
Cuando necesite crear y administrar varios túneles, necesitará un método que no requiera que configure
cada elemento manualmente. IPsec admite la generación y negociación automatizadas de claves y
asociaciones de seguridad mediante el protocolo Intercambio de claves por red (ICR). Junos OS se refiere
a esta negociación automatizada de túnel como AutoKey ICR y admite AutoKey ICR con claves
previamente compartidas y AutoKey ICR con certificados.
• Clave automática ICR con claves previamente compartidas: mediante el uso de ICR de clave
automática con claves previamente compartidas para autenticar ICR los participantes en una sesión
de ICR, cada lado debe configurar e intercambiar de antemano la clave previamente compartida. En
este sentido, el problema de la distribución segura de claves es el mismo que con las claves manuales.
Sin embargo, una vez distribuido, una Autokey, a diferencia de la clave manual, puede cambiar
automáticamente sus claves a intervalos predeterminados mediante el protocolo ICR. Las claves que
cambian frecuentemente mejoran en gran medida la seguridad y, de esta manera, lo reducen
considerablemente las responsabilidades de la administración de claves. Sin embargo, el cambio de
claves aumenta la sobrecarga del tráfico; por lo tanto, cambiar las claves con demasiada frecuencia
puede reducir la eficacia de transmisión de datos.
Una clave previamente compartida es una clave para el cifrado y el descifrado, que ambos
participantes deben tener antes de iniciar la comunicación.
• Clave automática ICR con certificados: cuando se utilizan certificados para autenticar a los
participantes durante una negociación de ICR de clave automática, cada lado genera un par de claves
pública y privada y adquiere un certificado. Siempre que la autoridad de certificación emisora (AC)
sea de confianza para ambos lados, los participantes pueden recuperar la clave pública del par y
comprobar la firma del par. No es necesario hacer un seguimiento de las claves y SAs; ICR lo hace
automáticamente.
24
Intercambio Diffie-Hellman
Un intercambio Diffie-Hellman (DH) permite que los participantes generen un valor secreto compartido.
La fortaleza de la técnica es que permite a los participantes crear el valor secreto a través de un medio
no seguro sin pasar el valor secreto a través del cable. El tamaño del módulo principal usado en el
cálculo de cada grupo difiere como se muestra en la siguiente tabla. Las operaciones de intercambio
Diffie Hellman (DH) se pueden realizar en software o hardware. Cuando estas operaciones de
intercambio se realizan en hardware, utilizamos la criptografía de tecnología QuickAssist (QAT). A
continuación, se enumeran diferentes grupos Diffie Hellman (DH) y se especifica si la operación
realizada para ese grupo se encuentra en Tabla 1 en la página 24 el hardware o en el software.
Tabla 1: Los grupos Diffie Hellman (DH) y sus operaciones de intercambio llevaron a cabo
A partir de Junos OS versión 19.1R1, los dispositivos serie SRX son compatibles con los grupos DH 15,
16 y 21.
Dado que el módulo para cada grupo DH tiene un tamaño diferente, los participantes deben aceptar que
se utilice el mismo grupo.
in this section
IPsec utiliza dos protocolos para proteger las comunicaciones en la capa IP:
• Carga de seguridad de encapsulación (ESP): un protocolo de seguridad para cifrar todo el paquete IP
(y autenticar su contenido)
Para cada túnel VPN, se instalan sesiones de túnel AH y ESP en unidades de procesamiento de servicios
(SPUs) y en el plano de control. Las sesiones de túnel se actualizan con el protocolo negociado después
de completarse la negociación. Para SRX5400, SRX5600 y SRX5800, las sesiones de túnel del
delimitador SPUs se actualizan con el protocolo negociado, mientras que los SPUs que no son de
delimitadores conservan las sesiones ESP y AH del túnel. Las sesiones de túnel ESP y AH se muestran en
los resultados show security flow session de show security flow cp-session los comandos del modo de
operación y.
• Síntesis del mensaje 5 (MD5): un algoritmo que produce un hash de 128 bits (también llamado
síntesis de mensajes o firma digital) a partir de un mensaje de longitud arbitraria y una clave de 16
bytes. Se utiliza el hash resultante, como una huella dactilar de la entrada, para comprobar el
contenido y la autenticidad e integridad del origen.
• Algoritmo de hash seguro (SHA): un algoritmo que genera un hash de 160 bits a partir de un mensaje
de longitud arbitraria y una clave de 20 bytes. Generalmente se considera más seguro que con MD5
debido a los hash de mayor tamaño que produce. Dado que el procesamiento computacional se
realiza en los ASIC, el costo de rendimiento es insignificante.
Para obtener más información acerca de los algoritmos hash MD5, consulte RFC 1321 y RFC 2403. Para
obtener más información acerca de los algoritmos de hash SHA, consulte RFC 2404. Para obtener más
información acerca de HMAC, consulte RFC 2104.
El protocolo carga de seguridad encapsuladora (ESP) proporciona un medio para garantizar la privacidad
(cifrado) y la autenticación de origen e integridad del contenido (autenticación). ESP en modo de túnel
encapsula todo el paquete IP (encabezado y carga) y, a continuación, anexa un nuevo encabezado IP al
paquete que está ahora cifrado. Este nuevo encabezado de IP contiene la dirección de destino necesaria
para enrutar los datos protegidos a través de la red. (Consulte "procesamiento de paquetes en modo de
túnel" en la página 148.)
Con ESP, puede cifrar y autenticar, únicamente cifrar o autenticar. Para el cifrado, puede elegir uno de
los siguientes algoritmos de cifrado:
• Estándar de cifrado de datos (DES): un algoritmo de bloque criptográfico con una clave de 56 bits.
• Triple DES (3DES): una versión más potente de DES en la que se aplica el algoritmo DES original en
tres rondas mediante una clave de 168 bits. DES proporciona ahorros significativos de rendimiento,
pero se considera inaceptable para varias transferencias de material clasificadas o sensibles.
• Estándar de cifrado avanzado (AES): un estándar de cifrado que ofrece una mayor interoperabilidad
con otros dispositivos. Junos OS admite AES con claves de 128 bits, 192 bits y 256 bits.
Aunque es posible seleccionar NULL para el cifrado, se ha demostrado que IPsec puede ser vulnerable a
ataques en tales circunstancias. Por lo tanto, sugerimos que elija un algoritmo de cifrado para obtener la
máxima seguridad.
Los siguientes dos modos diferentes que determinan cómo se intercambia el tráfico en la VPN.
• Modo de túnel: proteja el tráfico encapsulando el paquete IP original dentro de otro paquete en el
túnel VPN. Este modo utiliza claves previamente compartidas con ICR para autenticar pares o
certificados digitales con ICR autenticar pares. Esto se usa con mayor frecuencia cuando los hosts
dentro de redes privadas separadas desean comunicarse a través de una red pública. Este modo lo
pueden usar tanto clientes VPN como puertas de enlace VPN, y protege las comunicaciones que
proceden de sistemas no IPsec o que se dirigen a ellos.
• Modo de transporte: proteja el tráfico mediante el envío del paquete directamente entre los dos
hosts que establecieron el túnel IPsec. Es decir, cuando el punto de conexión de comunicación y el
punto de conexión criptográfico son los mismos. La parte de datos del paquete IP está cifrada, pero
el encabezado IP no. Las puertas de enlace VPN que proporcionan servicios de cifrado y descifrado
para los host protegidos no pueden utilizar el modo de transporte para comunicaciones VPN
protegidas. Las direcciones IP del origen o el destino se pueden modificar si se intercepta el paquete.
Debido a su construcción, el modo de transporte solo se puede usar cuando el extremo de
comunicación y el extremo criptográfico son los mismos.
En los enrutadores con una o más MS-MPCS, MS-MICS o DPC, la versión para Canadá y para Estados
Unidos de Junos os admite sustancialmente las siguientes RFC, que definen estándares para la seguridad
IP (IPSec) y el intercambio de claves por red (ICR).
• RFC 2401, Arquitectura de seguridad para el protocolo de Internet (obsoleta por RFC 4301)
• RFC 2404, El uso de HMAC-SHA-1-96 dentro de ESP y AH (obsoleto por RFC 4305)
• RFC 2406, Carga de seguridad de encapsulación (ESP) de IP (obsoleta por RFC 4303 y RFC 4305)
• RFC 2407, El dominio de interpretación de seguridad de IP de Internet para ISAKMP (obsoleto por
RFC 4306)
• RFC 2409, El Intercambio de claves por red (ICR) (obsoleto por RFC 4306)
• RFC 2560, Infraestructura de clave pública de Internet X.509: protocolo de estado de certificado en
línea (OCSP)
• RFC 3280, Perfil de lista de revocación de certificados (CRL) y certificado de infraestructura de clave
pública de Internet X.509
• RFC 4106, El uso del modo Galois/Counter (GCM) en carga de seguridad de encapsulación (ESP) de
IPsec
• RFC 4307, Algoritmos criptográficos para uso en el Intercambio de claves por red versión 2 (IKEv2)
29
• AUTENTICACIÓN RFC 4754, ICR y IKEv2 mediante el algoritmo de firma digital de curva elíptica
(ECDSA)
• RFC 3526, Grupos Diffie-Hellman con exponencial más modular (MODP) para Intercambio de claves
por red (ICR)
• RFC 5114, Grupos Diffie-Hellman adicionales para su uso con estándares GTI-I estándares
• RFC 5903, Módulos a principales de grupos de curva elíptica (grupos ECP) para ICR y IKEv2
Los siguientes documentos RFC y borrador de Internet no definen los estándares, pero proporcionan
información acerca de IPsec, ICR y otras tecnologías relacionadas. El GTI-I los clasifica como
"información".
• RFC 3706, Un método basado en el tráfico para detectar pares Intercambio de claves por red
muertos (ICR)
SEE ALSO
release-history
19.1R1 A partir de Junos OS versión 19.1R1, los dispositivos serie SRX son compatibles con
los grupos DH 15, 16 y 21.
3
CHAPTER LABEL COVER PAGE
PKI en Junos OS
PKI en Junos OS | 32
Certificados digitales | 37
Autoridad de certificación | 44
Inscripción de certificados | 53
Revocación de certificados | 70
Validación de certificados | 82
32
PKI en Junos OS
Una infraestructura de clave pública (PKI) admite la distribución e identificación de claves de cifrado
públicas, lo que permite a los usuarios intercambiar datos de forma segura a través de redes como
Internet y comprobar la identidad de la otra parte.
in this section
• Capa de conexión segura (SSL) (para una administración web segura y una autenticación web basada
en https para la autenticación del usuario)
• SSH y SCP se utilizan exclusivamente para la administración del sistema y depende del uso de
huellas digitales fuera de banda para el enlace y validación de identidad de clave pública. Los
detalles de SSH no se tratan en este tema.
• Certificados locales, incluida laidentidad del dispositivo s (ejemplo: ICR el tipo y valor de ID.) y claves
privadas y públicas
• Certificados
• Certificado local: el certificado local contiene la información de identidad y clave pública para el
Juniper Networks dispositivo. El dispositivo Juniper Networks es propietario de la clave privada
asociada. Este certificado se genera a partir de una solicitud de certificado del dispositivo de
Juniper Networks.
• Los certificados locales se utilizan generalmente cuando un Junos OS dispositivo tiene VPN en más
de un dominio administrativo.
• Todos los objetos PKI se almacenan en una partición independiente de memoria persistente, aparte
de la Junos OS imagen y la configuración general del sistema.
• Cada objeto PKI tiene un nombre único o ID de certificado que se le da cuando se crea y mantiene
ese ID hasta su eliminación. Puede ver el ID de certificado con el show security pki local-certificate
comando.
• AC validan los certificados recibidos por el ICR par. Si el certificado es válido, se verifica en la CRL
para ver si se revocó el certificado.
Cada AC certificado incluye una configuración de AC de perfil que almacena la siguiente información:
• Configuración de revocación:
• Ubicación del punto de distribución CRL (CDP) (para la configuración manual de URL)
in this section
Grupo de CA de confianza | 36
Los elementos mínimos de PKI necesarios para la autenticación basada en certificados en Junos OS son:
• Certificados locales que incluyen la identidad del dispositivo (ejemplo: ICR el tipo y valor de ID.) y
claves privadas y públicas
El procedimiento para firmar digitalmente los mensajes enviados entre dos participantes en una sesión
Intercambio de claves por red (ICR) es similar a la comprobación de certificados digitales, con las
siguientes diferencias:
• En lugar de crear un resumen del certificado de CA, el remitente lo convierte a partir de los datos de
la carga del paquete IP.
• En lugar de utilizar el par de claves pública y privada de la entidad emisora de certificados, los
participantes utilizan el par de claves pública y privada del remitente.
36
Grupo de CA de confianza
Una entidad emisora de certificados es una tercera persona a la que se confía para emitir y revocar
certificados. Puede agrupar varias entidades emisoras (perfiles de entidades emisoras) en un grupo de
entidades emisoras de certificados de confianza para una topología determinada. Estos certificados se
utilizan para establecer una conexión entre dos extremos. Para establecer ICR o IPsec, ambos puntos de
conexión deben confiar en la misma entidad emisora de certificados. Si alguno de los extremos no puede
validar el certificado con su CA de confianza (CA-Profile) correspondiente o el grupo de CA de confianza,
la conexión no se establece.
Por ejemplo, hay dos extremos, el extremo a y el extremo B intentan establecer una conexión segura.
Cuando el punto de conexión B presenta su certificado al punto de conexión A, el punto de conexión A
comprobará si el certificado es válido. La entidad emisora del extremo A comprueba el certificado
firmado que el extremo B utiliza para obtener la autorización. Cuando trusted-ca o trusted-ca-group
está configurado, el dispositivo solo usará los perfiles de CA agregados en trusted-ca-group este o el
perfil de CA trusted-ca configurado en para validar el certificado que procede del extremo B. Si el
certificado se comprueba como válido, se permite la conexión, de lo contrario se rechaza la conexión.
Ventajas
• Para cualquier solicitud de conexión entrante, solo se validará el certificado emitido por dicha entidad
de certificación de confianza de ese extremo. Si no lo es, la autorización rechazará el establecimiento
de la conexión.
Con el control de claves de cifrado, las claves persistentes se almacenan en la memoria del dispositivo
sin intentar modificarlas. Aunque el dispositivo de memoria interna no es directamente accesible para un
posible adversario, aquellos que requieran una segunda capa de defensa pueden habilitar un tratamiento
especial para las claves criptográficas. Cuando está habilitada, el control de claves de cifrado cifra las
claves cuando no se utiliza inmediatamente, realiza la detección de errores cuando se copia una clave de
una ubicación de memoria a otra y sobrescribe la ubicación de memoria de una clave con un patrón de
bits aleatorio cuando la clave ya no está en uso . Las claves también se protegen cuando se almacenan
en la memoria flash del dispositivo. La habilitación de la característica de control de claves de cifrado no
provoca ningún cambio de observación externa en el comportamiento del dispositivo, y el dispositivo
sigue interoperando con los demás dispositivos.
Actualmente, las siguientes claves persistentes se encuentran bajo la administración de ICR y la PKI:
SEE ALSO
VÍNCULOS RELACIONADOS
Inscripción de certificados | 53
Certificados digitales
in this section
Para utilizar un certificado digital para autenticar su identidad al establecer una conexión VPN segura,
primero debe hacer lo siguiente:
• Obtenga un certificado de entidad emisora a partir del cual pretenda obtener un certificado local y, a
continuación, cargue el certificado de entidad emisora en el dispositivo. El certificado de entidad
emisora puede contener una lista CRL para identificar certificados no válidos.
38
2. Crear un perfil o perfiles de entidad emisora que contengan información específica de una entidad
emisora. Consulte ejemplo: Configuración de un perfilde CA.
3. Generar el CSR para el certificado local y enviarlo al servidor de la CA. Consulte ejemplo: Generar
manualmente un CSR para el certificado local y enviarlo al servidorde la CA.
in this section
Un certificado con firma personal es un certificado firmado por la misma entidad que lo creó en vez de
por una entidad de certificación (CA).Junos OS proporciona dos métodos para generar una generación
automática de certificado autofirmado y una generación manual.
Un certificado con firma personal es un certificado firmado por su creador, en vez de por una autoridad
de certificación (CA).
Los certificados autofirmados permiten el uso de servicios basados en SSL (capa de sockets seguros) sin
que sea necesario que el usuario o administrador lleve a cabo la considerable tarea de obtener un
certificado de identidad firmado por una entidad emisora de certificados.
Los certificados con firma automática no proporcionan seguridad adicional, como son los que los
generan las entidades emisoras. Esto se debe a que un cliente no puede comprobar que el servidor al
que se ha conectado es el que se ha anunciado en el certificado.
• Generación automática
• Generación manual
En cualquier momento, puede usar la CLI para generar un certificado con firma personal. Estos
certificados también se utilizan para obtener acceso a los servicios SSL.
Los certificados con firma automática son válidos durante cinco años a partir del momento en que se
generaron.
Un certificado autofirmado generado automáticamente permite el uso de servicios basados en SSL sin
requerir que el administrador obtenga un certificado de identidad firmado por una entidad de
certificación.
Un certificado autofirmado generado automáticamente por el dispositivo es similar a una tecla de host
de Shell segura (SSH). Se almacena en el sistema de archivos, no como parte de la configuración. Se
40
conserva cuando se reinicia el dispositivo y se conserva cuando se emite un request system snapshot
comando.
Un certificado autofirmado generado manualmente permite el uso de servicios basados en SSL sin
requerir que obtenga un certificado de identidad firmado por una CA. Un certificado autofirmado
generado manualmente es un ejemplo de certificado local de infraestructura de clave pública (PKI).
Como ocurre con todos los certificados locales de la PKI, los certificados autofirmados generados
manualmente se almacenan en el sistema de archivos.
SEE ALSO
PKI en Junos OS
in this section
Aplicables | 40
Descripción general | 40
Automática | 41
Comproba | 41
Aplicables
Antes de configurar esta característica, es necesaria una configuración especial más allá de la
inicialización del dispositivo.
Descripción general
En este ejemplo, se genera un par de claves pública-privada denominados CA-IPSec.
41
Automática
in this section
Modalidades | 41
Modalidades
Comproba
Después de generar el par de claves pública y privada, el Juniper Networks dispositivo muestra lo
siguiente:
SEE ALSO
in this section
Aplicables | 42
42
Descripción general | 42
Automática | 42
Comproba | 43
Aplicables
Antes de comenzar, genere una pareja de claves pública y privada. Consulte Certificados digitales.
Descripción general
En el caso de un certificado autofirmado generado manualmente, al crearlo se especifica el DN. En el
caso de un certificado autofirmado generado automáticamente, el sistema suministra el DN, que se
identificará a sí mismo como creador.
Automática
in this section
Modalidades | 42
Modalidades
Comproba
Para comprobar que el certificado se ha generado y cargado correctamente, show security pki local-
certificate escriba el comando del modo operativo.
system {
services {
web-management {
http {
interface [ ... ];
} https {
system-generated-certificate;
interface [ ... ];
}
}
}
}
Use el siguiente comando para especificar que el certificado autofirmado generado automáticamente se
usará para servicios HTTPS de administración web:
VÍNCULOS RELACIONADOS
PKI en Junos OS | 32
Autoridad de certificación
in this section
Un perfil de autoridad de certificados (CA) define todos los parámetros asociados con un certificado
específico para establecer una conexión segura entre dos extremos. Los perfiles especifican qué
certificados usar, cómo comprobar el estado de revocación de certificados y cómo ese estado restringe
el acceso.
45
in this section
En esta sección se describe el procedimiento para crear un grupo de CA de confianza para una lista de
perfiles de entidad emisora de certificados y eliminar un grupo de CA de confianza.
Antes de comenzar, debe disponer de una lista de todos los perfiles de CA que desea agregar al grupo
de confianza.
[edit]
user@host# set security pki ca-profile orgA-ca-profile ca-identity ca-profile1
user@host# set security pki ca-profile orgB-ca-profile ca-identity ca-profile2
user@host# set security pki ca-profile orgC-ca-profile ca-identity ca-profile3
46
[edit]
set security pki trusted-ca-group orgABC-trusted-ca-group ca-profiles [orgA-ca-profile orgB-ca-profile
orgC-ca-profile]]
3. Confirme la configuración cuando haya terminado de configurar los perfiles de CA y los grupos de CA
de confianza.
[edit]
user@host# commit
Para ver los perfiles de CA y los grupos de CA de confianza configurados show security pki en su
dispositivo, ejecute el comando.
El show security pki comando muestra todos los perfiles de entidades emisoras que se agrupan bajo el
orgABC_trusted-ca-group.
[edit]
user@host# delete security pki trusted-ca-group orgABC-trusted-ca-group ca-profiles orgC-ca-profile
[edit]
user@host# commit
Para ver el orgC-ca-profile que se está eliminando de orgABC-trusted-ca-group , show security pki
ejecute el comando.
La salida no muestra el orgC-ca-profile perfil tal y como se elimina del grupo de CA de confianza.
[edit]
user@host# delete security pki trusted-ca-group orgABC-trusted-ca-group
48
[edit]
user@host# commit
Para ver el orgABC-trusted-ca-group que se está eliminando de la entidad show security pki , ejecute el
comando.
VÍNCULOS RELACIONADOS
La configuración del perfil de una entidad de certificación (CA) contiene información específica de una
entidad emisora de certificados. Puede tener varios perfiles de CA en un dispositivo serie SRX. Por
ejemplo, podría tener un perfil para orgA y otro para orgB. Cada perfil se asocia con un certificado de
entidad emisora. Si desea cargar un nuevo certificado de entidad emisora sin quitar el antiguo, cree un
nuevo perfil de entidad emisora (por ejemplo, Microsoft-2008).
A partir de Junos OS versión 18.1 R1, el servidor de la entidad emisora de certificados puede ser un
servidor de CA IPv6.
El módulo PKI admite el formato de dirección IPv6 para permitir el uso de serie SRX dispositivos en
redes en las que IPv6 es el único protocolo utilizado.
Una entidad de certificación emite certificados digitales, lo que ayuda a establecer una conexión segura
entre dos extremos a través de la validación de certificados. Puede agrupar varios perfiles de entidades
emisoras de certificados en un grupo de CA de confianza para una topología determinada. Estos
49
certificados se utilizan para establecer una conexión entre dos puntos finales. Para establecer ICR o
IPsec, ambos puntos de conexión deben confiar en la misma entidad emisora de certificados. Si alguno
de los extremos no puede validar el certificado con su CA de confianza (CA-Profile) correspondiente o el
grupo de CA de confianza, la conexión no se establece. Un mínimo de un perfil de CA es obligatorio para
crear un grupo de CA de confianza y se permite un máximo de 20 CA en un grupo de CA de confianza.
Cualquier entidad de certificación de un grupo determinado puede validar el certificado para ese
extremo concreto.
A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del mismo nivel
configurada con un servidor de CA especificado o con un grupo de servidores de entidad emisora. Se
puede crear un grupo de servidores de entidades emisoras trusted-ca-group de certificados de
confianza conedit security pkila instrucción de configuración en el nivel de jerarquía []; se pueden
especificar uno o varios perfiles de CA. El servidor de CA de confianza se enlaza a la configuración de la
Directiva de ICRedit security ike policy policy certificatepara el nivel de jerarquía peer at [].
Si el perfil de proxy se configura en el perfil de CA, el dispositivo se conecta al host proxy en lugar de al
servidor de la CA, durante la inscripción, comprobación o revocación de certificados. El host proxy se
comunica con el servidor de la entidad de certificación con las solicitudes del dispositivo y, a
continuación, retransmite la respuesta al dispositivo.
SEE ALSO
in this section
Aplicables | 50
Descripción general | 50
Automática | 50
Comproba | 52
50
Aplicables
Antes de configurar esta característica, es necesaria una configuración especial más allá de la
inicialización del dispositivo.
Descripción general
En este ejemplo, creará un perfil de CA ca-profile-ipsec llamado con la identidad de CA microsoft-2008.
A continuación, cree un perfil de proxy para el perfil de CA. La configuración especifica que la CRL se
actualice cada 48 horas y que la ubicación en la que se recuperará la http://www.my-ca.comCRL es. En
el ejemplo, establece el valor del reintento de inscripción en 20. El valor predeterminado de Retry es 10.
Automática
in this section
Modalidades | 50
Modalidades
[edit]
user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008
user@host#
51
[edit]
user@host# set security pki ca-profile ca-profile-ipsec proxy-profile px-profile
La infraestructura de claves públicas (PKI) utiliza el perfil de proxy configurado en el nivel del sistema.
El perfil de proxy que se utiliza en el perfil de CA debe configurarse en la [edit services proxy]
jerarquía. Puede haber más de un perfil de proxy configurado en [edit services proxy] la jerarquía. A
cada perfil de entidad emisora se le hace referencia el perfil de proxy más uno. Puede configurar el
host y el puerto del perfil proxy en la [edit system services proxy] jerarquía.
3. Cree una comprobación de revocación para especificar un método para comprobar la revocación de
certificados.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
[edit]
user@host# set security pki ca-profile ca-profile-ipsec ca-identity microsoft-2008 revocation-check crl
refresh-interval 48 url http://www.my-ca.com/my-crl.crl
[edit]
user@host# set security pki ca-profile ca-profile-ipsec enrollment retry 20
6. Especifique el intervalo de tiempo (en segundos) entre los intentos para inscribir automáticamente el
certificado de entidad emisora en línea.
[edit]
user@host# set security pki ca-profile ca-profile-ipsec enrollment retry-interval 1800
52
[edit]
user@host# commit
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.
En este ejemplo se muestra cómo configurar una dirección IPv6 como dirección de origen de un perfil de
CA.
Antes de configurar esta característica, es necesaria una configuración especial más allá de la
inicialización del dispositivo.
En este ejemplo, cree un perfil de CA orgA-ca-profile llamado con la v6-ca identidad de CA y configure
la dirección de origen del perfil de CA como una dirección 2001:db8:0:f101::1IPv6, como. Puede
configurar la dirección URL de inscripción para aceptar una dirección http://[2002:db8:0:f101::1]:/.../
IPv6.
[edit]
user@host# set security pki ca-profile orgA-ca-profile ca-identity v6_ca
[edit]
user@host# set security pki ca-profile v6_ca source-address 2001:db8:0:f101::1
[edit]
user@host# set security pki ca-profile v6_ca enrollment url http://[2002:db8:0:f101::1]:/.../
53
[edit]
user@host# commit
SEE ALSO
release-history
18.1R1 A partir de Junos OS versión 18.1 R1, el servidor de la entidad emisora de certificados puede
ser un servidor de CA IPv6.
18.1R1 A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del
mismo nivel configurada con un servidor de CA especificado o con un grupo de servidores de
entidad emisora.
VÍNCULOS RELACIONADOS
Inscripción de certificados
in this section
Una entidad emisora de certificados emite certificados digitales que ayudan a establecer una conexión
segura entre dos extremos a través de la validación de certificados. En los siguientes temas se describe
cómo configurar certificados de CA en línea o locales mediante el protocolo de inscripción de
certificados simple (SCEP):
2. Crear un perfil o perfiles de entidad emisora que contengan información específica de una entidad
emisora. Consulte ejemplo: Configuración de un perfilde CA.
3. Solo para SCEP, inscriba el certificado de CA. Consulte inscripción en línea de un certificado de CA
con SCEP.
4. Inscriba el certificado local de la entidad emisora de certificados cuyo certificado de entidad emisora
haya cargado previamente. Consulte ejemplo: Inscripción en línea de un certificado local con SCEP.
Con el protocolo de inscripción de certificados simple (SCEP), puede configurar el dispositivo Juniper
Networks para obtener un certificado de entidad de certificación (CA) en línea e iniciar la inscripción en
línea para el ID. de certificado especificado. La clave pública de entidad emisora comprueba certificados
de los interlocutores remotos.
Cuando crea una solicitud de certificado local, el dispositivo genera un certificado de CA en formato
PKCS #10 desde un par de claves generado anteriormente con el mismo ID. de certificado.
Un nombre de sujeto se asocia con la solicitud de certificado local en forma de nombre común (CN),
unidad organizativa (OU), organización (O), localidad (L), estado (ST), país (C) y componente de dominio
(DC). Además, un nombre alternativo de firmante está asociado con el siguiente formato:
• Dirección IP
Especifique el nombre del asunto en el formato de nombre completo entre comillas, incluidos el
componente de dominio (DC), el nombre común (CN), el número de serie (SN), el nombre de la
unidad organizativa (OU), el nombre de organización (O), la localidad (L), el estado (ST) y el país (C).
Algunas entidades de certificación no admiten una dirección de correo electrónico como nombre de
dominio en un certificado. Si no incluye una dirección de correo electrónico en la solicitud de
certificado local, no puede usar una dirección de correo electrónico como identificador de ICR local al
configurar el dispositivo como un sistema de mismo nivel dinámico. En su lugar, puede usar un
nombre de dominio completo (si se encuentra en el certificado local) o puede dejar el campo
identificador local en blanco. Si no especifica un ID local para un par dinámico, escriba el nombre de
host.domain de ese par en el dispositivo al otro extremo del túnel IPsec en el campo ID par.
Antes de empezar:
1. Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.
1. Recupere el certificado de CA en línea con SCEP. (Los atributos necesarios para llegar al servidor de la
entidad emisora de certificados se obtienen del perfil de entidad emisora definido.)
El comando se procesa de forma sincrónica para proporcionar la huella digital del certificado de la
entidad emisora recibido.
Fingerprint:
e6:fa:d6:da:e8:8d:d3:00:e8:59:12:e1:2c:b9:3c:c0:9d:6c:8f:8d (sha1)
82:e2:dc:ea:48:4c:08:9a:fd:b5:24:b0:db:c3:ba:59 (md5)
Do you want to load the above CA certificate ? [yes,no]
2. Confirme que se ha cargado el certificado correcto. El AC certificado solo se carga cuando se escribe
yes en el CLI único.
Para obtener más información sobre el certificado, como la longitud de bits del par de claves, utilice
el show security pki ca-certificatecomando.
in this section
Aplicables | 56
Descripción general | 57
Automática | 58
Comproba | 59
En este ejemplo, se muestra cómo inscribir un certificado local en línea usando el protocolo de
inscripción de certificados simple (SCEP).
Aplicables
Antes de empezar:
57
• Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.
Descripción general
En este ejemplo, puede configurar su dispositivo Juniper Networks para obtener un certificado local en
línea e iniciar la inscripción en línea para el identificador de certificado especificado con SCEP. Debe
especificar la ruta de dirección URL del servidor de entidad emisora en ca-profile-ipsecel nombre del
perfil de la entidad emisora.
Utilice el comando request security pki local-certificate enroll scep para iniciar la inscripción en línea
para el ID de certificado especificado. (A partir de Junos OS versión 15.1X49-D40 y Junos OS versión
17.3R1, se admite scep y se requiere la palabra clave.) Debe especificar el nombre AC de perfil (por
ejemplo), el ID de certificado correspondiente a un par de claves generado anteriormente (por ejemplo, )
y la ca-profile-ipsecqqq siguiente información:
• El nombre de dominio para identificar al propietario del certificado en ICR negociaciones, por
ejemplo, qqq.example.net .
• La identidad del propietario del certificado para ICR negociación con la instrucción de correo
electrónico, por ejemplo, qqq@example.net .
• La dirección IP si el dispositivo está configurado para una dirección IP estática, por ejemplo,
10.10.10.10 .
Especifique el nombre del asunto en el formato de nombre completo entre comillas, incluidos el
componente de dominio (DC), el nombre común (CN), el número de serie (SN), el nombre de la unidad
organizativa (OU), el nombre de organización (O), la localidad (L), el estado (ST) y el país (C).
Una vez que se obtenga el certificado de dispositivo y se inicie la inscripción en línea para el
identificador de certificado. El comando se procesa de forma asincrónica.
58
Automática
in this section
Modalidades | 58
Modalidades
[edit]
user@host# set security pki ca-profile ca-profile-ipsec enrollment url path-to-ca-server
[edit]
user@host# commit
user@host> request security pki local-certificate enroll scep ca-profile ca-profile-ipsec certificate-id
qqq challenge-password ca-provided-password domain-name qqq.example.net email qqq@example.net
ip-address 10.10.10.10 subject DC=example, CN=router3, SN, OU=marketing, O=example, L=sunnyvale,
ST=california, C=us
Si define SN en el campo Subject (asunto) sin el número de serie, el número de serie se leerá
directamente del dispositivo y se agregará a la solicitud de firma de certificado (CSR).
A partir de Junos OS versión 19.4 R2, se muestra ECDSA Keypair not supported with SCEP for cert_id
<certificate id> un mensaje de advertencia cuando intenta inscribir un certificado local mediante una
clave de un algoritmo de firma digital de curva elíptica (ECDSA) con el protocolo de inscripción de
certificados simple (SCEP), ya que la clave ECDSA no se admite con SCEP.
59
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security pki comando.
in this section
Aplicables | 59
Descripción general | 59
Automática | 60
Comproba | 61
Aplicables
Antes de empezar:
• Obtener un certificado local. Consulte ejemplo: Inscripción en línea de un certificado local con SCEP.
Descripción general
Puede habilitar el dispositivo para que renueve automáticamente los certificados adquiridos por la
inscripción en línea o que se carguen manualmente. La renovación automática de certificados evita tener
que recordar la renovación de certificados en el dispositivo antes de que caduquen, lo que ayuda a
mantener certificados válidos en todo momento.
Para que esta característica funcione, el dispositivo debe ser capaz de alcanzar el servidor de la entidad
emisora y el certificado debe estar presente en el dispositivo durante el proceso de renovación. Además,
también debe asegurarse de que la entidad emisora de certificados que emite el certificado puede
devolver el mismo DN. La CA no debe modificar el nombre de asunto o la extensión de nombre de
sujeto alternativo en el nuevo certificado.
Puede habilitar y deshabilitar la renovación automática de certificados SCEP para todos los certificados
SCEP o para cada certificado. Utilice el comando set security pki auto-re-enrollment scep para activar y
configurar la reinscripción de certificados. En este ejemplo, se especifica el ID de certificado del
certificado de AC como y se establece el nombre de perfil AC asociado con ca-ipsec el certificado en ca-
profile-ipsec . Puede establecer la contraseña de desafío para el certificado de la entidad emisora en la
contraseña de desafío proporcionada por el administrador de la entidad emisora; Esta contraseña debe
ser la misma configurada anteriormente para la entidad emisora de certificados. También debe
establecer el porcentaje para el desencadenador de reinscripción 10en. Durante la reinscripción
automática, el Juniper Networks dispositivo utiliza de forma predeterminada el par de claves existente.
Una buena práctica de seguridad consiste en volver a generar un nuevo par de claves para la
reinscripción. Para generar un nuevo par de claves, utilice re-generate-keypair el comando.
Automática
in this section
Modalidades | 60
Modalidades
[edit]
user@host# set security pki auto-re-enrollment scep certificate-id ca-ipsec ca-profile-name ca-profile-
ipsec challenge-password ca-provided-password re-enroll-trigger-time-percentage 10 re-generate-
keypair
A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1, la
palabra clave es compatible y es obligatoria.
61
[edit]
user@host# commit
Comproba
Para comprobar que la configuración funciona correctamente, especifique el show security pki local-
certificate detail comando modo de funcionamiento.
En función del entorno de implementación, puede usar la versión 2 del Protocolo de administración de
certificados (CMPv2) o el protocolo de inscripción de certificados simple (SCEP) para la inscripción de
certificados en línea. En este tema se describen algunas de las diferencias básicas entre los dos
protocolos.
Tabla 2 en la página 61describe las diferencias entre los protocolos de inscripción de certificados
CMPv2 y SCEP.
in this section
El request security pki local-certificate enroll cmpv2 comando usa CMPv2 para inscribir un certificado
digital local en línea. Este comando carga los certificados de la entidad final y la entidad de certificación
según la configuración del servidor de la entidad emisora. El perfil de CA debe crearse antes de la
inscripción de certificados de CA porque la dirección URL de inscripción se extrae del perfil de CA.
Una CA puede emitir un nuevo certificado de CA antes de que expire el certificado de CA actual. Si se
recibe un nuevo certificado de CA durante la reinscripción de certificados con una nueva clave pública,
el nuevo certificado de CA no se guarda en el dispositivo.
63
El mensaje de respuesta de inicialización puede contener un certificado de entidad final, así como un
certificado de CA emisora autofirmado. El certificado de la entidad final se almacena en primer lugar en
el almacén de certificados y, a continuación, se comprueba el certificado de la entidad emisora. Si se
encuentra el certificado de CA y el nombre distintivo del firmante (DN) del certificado de CA en el
mensaje de respuesta de inicialización coincide con el DN de emisor del certificado de entidad final, el
certificado de CA se almacena en el almacén de certificados de entidad emisora para el nombre del perfil
de CA especificado en el comando de inscripción de certificados CMPv2 Si el certificado de CA ya existe
en el almacén de certificados de la entidad emisora, no se llevará a cabo ninguna acción.
Es posible que varios números de serie de certificados tengan los mismos 16 dígitos menos
significativos. En ese caso, -00 se anexa al nombre del perfil para crear un nombre de Perfil de entidad
emisora de certificados único; los nombres adicionales del perfil de entidad emisora se crean
incrementando el número -01 anexado -99, de hasta. Por ejemplo, los nombres de los perfiles
1000100010001000de 1000100010001000-00entidades emisoras pueden ser,, y
1000100010001000-01.
65
SEE ALSO
in this section
Aplicables | 65
Descripción general | 65
Automática | 66
Comproba | 66
En este ejemplo se muestra cómo generar manualmente una solicitud de firma de certificado.
Aplicables
Generar una clave pública y privada. Consulte Certificados digitales auto firmados.
Descripción general
En este ejemplo, se genera una solicitud de certificado mediante el identificador de certificado de un par
de claves privada y pública generado anteriormente (CA-IPSec). A continuación, especifique el nombre
del dominio (example.net) y el nombre común asociado (ABC). La solicitud de certificado se muestra en
formato PEM.
Copiará la solicitud de certificado generada y la pegará en el campo apropiado del sitio web de la
entidad emisora para obtener un certificado local. (Consulte la documentación del servidor de entidad
emisora para determinar dónde se debe pegar la solicitud de certificado.) Cuando se muestra el
contenido de PKCS #10, también se muestra el hash MD5 y el hash SHA-1 del archivo de #10 PKCS.
66
Automática
in this section
Modalidades | 66
Modalidades
Comproba
Para ver la solicitud de firma de certificado, show security pki certificate-request detail escriba el
comando.
in this section
Aplicables | 67
Descripción general | 67
Automática | 68
Comproba | 68
En este ejemplo se muestra cómo cargar manualmente la entidad emisora y los certificados locales.
Aplicables
Antes de empezar:
• Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.
• Generar una solicitud de certificado. Consulte ejemplo: Generar manualmente un CSR para el
certificado local y enviarlo al servidorde la CA.
Descripción general
En este ejemplo, descargará los certificados locales. cert y CA. cert y los guardará en el
directorio/var/tmp/del dispositivo.
Después de descargar certificados de una entidad de certificación, debe transferirlos al dispositivo (por
ejemplo, mediante FTP) y, a continuación, cargarlos.
Puede cargar los siguientes archivos de certificado en un dispositivo que ejecute Junos OS:
• Certificado local o de entidad final (EE) que identifica el dispositivo local. Este certificado es su clave
pública.
• Lista CRL que enumera todos los certificados revocados por la entidad emisora.
Automática
in this section
Modalidades | 68
Modalidades
[edit]
user@host> request security pki local-certificate load certificate-id local.cert filename /var/tmp/
local.cert
[edit]
user@host> request security pki ca-certificate load ca-profile ca-profile-ipsec filename /var/tmp/ca.cert
3. Examine la huella digital del certificado de la entidad emisora, si es correcta para este certificado de
entidad emisora Seleccione Sí para aceptar.
Comproba
Para comprobar que los certificados se han cargado correctamente show security pki local-certificate ,
show security pki ca-certificate escriba los comandos y en modo operativo.
Fingerprint:
e8:bf:81:6a:cd:26:ad:41:b3:84:55:d9:10:c4:a3:cc:c5:70:f0:7f (sha1)
19:b0:f8:36:e1:80:2c:30:a7:31:79:69:99:b7:56:9c (md5)
Do you want to load this CA certificate ? [yes,no] (no) yes
69
SEE ALSO
user@host> clear security pki local certificate certificate-id (certificate-id| all | system-generated )
Cuando elimina un certificado autofirmado generado automáticamente, el dispositivo genera uno nuevo.
Especificar un perfil de CA para eliminar un certificado de CA específico o all utilizar para eliminar todos
los certificados de CA presentes en el almacén persistente.
release-history
19.4R2 A partir de Junos OS versión 19.4 R2, se muestra ECDSA Keypair not supported with SCEP for
cert_id <certificate id> un mensaje de advertencia cuando intenta inscribir un certificado local
mediante una clave de un algoritmo de firma digital de curva elíptica (ECDSA) con el protocolo
de inscripción de certificados simple (SCEP), ya que la clave ECDSA no se admite con SCEP.
70
15.1X49-D40 A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1,
la palabra clave es compatible y es obligatoria.
15.1X49-D40 A partir de Junos OS Release 15.1 X49-D40 y Junos OS las puntuaciones de scep versión R1,
la palabra clave es compatible y es obligatoria.
Revocación de certificados
in this section
Sin embargo, los certificados digitales no tienen fecha de caducidad anterior, por lo que es posible que
un certificado ya no sea válido por varias razones. Puede administrar las revocacións de certificados y
validaciones localmente y haciendo referencia a la lista de revocación de certificados (CRL) de una
entidad de certificación (CA).
in this section
OCSP se utiliza para comprobar el estado de revocación de los certificados X509. OCSP proporciona un
estado de revocación en los certificados en tiempo real y es útil para situaciones en las que el tiempo es
muy importante, como las transacciones bancarias y los intercambios de existencias.
El servidor OCSP puede ser la entidad emisora de certificados (CA) que emite un certificado o un
respondedor autorizado designado. La ubicación del servidor OCSP puede configurarse manualmente o
extraerse del certificado que se está comprobando. Las solicitudes se envían primero a las ubicaciones
del servidor OCSP que se configuran manualmente ocsp url en perfiles de CAedit security pki ca-profile
profile-name revocation-checkcon la instrucción en el nivel de jerarquía []; se pueden configurar hasta
dos ubicaciones para cada perfil de entidad emisora. Si no se puede obtener acceso al primer servidor de
OCSP configurado, la solicitud se envía al segundo servidor OCSP. Si no se puede tener acceso al
segundo servidor de OCSP, la solicitud se envía entonces a la ubicación en el campo de extensión
AuthorityInfoAccess del certificado. También use-ocsp debe configurarse la opción, ya que la lista de
revocación de certificados (CRL) es el método de comprobación predeterminado.
Los dispositivos serie SRX aceptan únicamente respuestas OCSP firmadas de la entidad emisora o el
respondedor autorizado. La respuesta recibida se valida mediante certificados de confianza. La respuesta
se valida de la siguiente manera:
La respuesta del servidor OCSP puede ser firmada por entidades emisoras de certificación diferentes. Se
admiten los siguientes escenarios:
• Un respondedor autorizado firma la respuesta del estado de revocación de OCSP. El certificado del
respondedor autorizado y el certificado de entidad final que se está verificando deben ser emitidos
por la misma CA. El respondedor autorizado se verifica primero con el certificado de CA inscrito en el
dispositivo serie SRX. La respuesta OCSP se valida mediante el certificado de AC respondedor. A
continuación, el dispositivo serie SRX usa la respuesta de OCSP para comprobar el estado de
revocación del certificado de entidad final.
72
• Hay distintos firmantes de CA para el certificado de entidad final que se están comprobando y la
respuesta de OCSP. La respuesta de OCSP está firmada por una CA en la cadena de certificados para
el certificado de entidad final que se está comprobando. (Todos los pares que participen en una
negociación de ICR deben tener al menos AC confianza comunes en sus respectivas cadenas de
certificados).) El informe del respondedor OCSP AC verifica mediante una AC en la cadena de
certificados. Después de validar el respondedor AC certificado, la respuesta OCSP se valida mediante
el certificado de AC respondedor.
Para evitar ataques de reproducción, se puede enviar una carga nonce en una solicitud de OCSP. Las
cargas nonce se envían de forma predeterminada a menos que esté deshabilitada de forma explícita. Si
se habilita, el dispositivo de serie SRX espera que la respuesta de OCSP contenga una carga de nonce,
de lo contrario no se podrá comprobar la revocación. Si los contestadores de OCSP no pueden
responder con una carga Nonce, la carga de nonce debe estar deshabilitada en el dispositivo de serie
SRX.
En el curso normal del negocio, los certificados se revocan por varias razones. Es posible que desee
revocar un certificado si sospecha que se ha puesto en peligro, por ejemplo, o cuando un titular de un
certificado sale de la compañía.
• Si hace referencia a una lista de revocación de certificados (CRL) de la autoridad de certificación (AC):
puede acceder automáticamente a la CRL en línea en los intervalos que especifique o en el intervalo
predeterminado establecido por el AC.
En las negociaciones de fase 1, los participantes comprueban la lista de CRL para ver si los certificados
recibidos durante un ICR de intercambio siguen siendo válidos. Si una CRL no acompaña a un certificado
de CA y no se carga en el dispositivo, el dispositivo intenta descargarlo automáticamente desde el punto
de distribución CRL del certificado local. Si el dispositivo no puede conectarse a la dirección URL del
punto de distribución de certificados (CDP), intentará recuperar la CRL de la dirección URL configurada
en el perfil de la entidad de certificación.
Los certificados locales se están validando con la lista de revocación de certificados (CRL) incluso aunque
la comprobación de CRL esté deshabilitada. Esto puede detenerse deshabilitando la comprobación de
CRL mediante la configuración de la infraestructura de clave pública (PKI). Cuando la comprobación de
CRL está deshabilitada, la PKI no validará el certificado local contra la CRL.
73
• OCSP proporciona el estado de certificado en tiempo real, mientras que la CRL usa los datos
almacenados en caché. En el caso de aplicaciones sensibles al tiempo, OCSP es el enfoque preferido.
• La comprobación de CRL es más rápida porque se realiza una búsqueda del estado de los certificados
sobre la información almacenada en la caché del dispositivo VPN. OCSP requiere tiempo para
obtener el estado de revocación de un servidor externo.
• CRL requiere memoria adicional para almacenar la lista de revocaciones recibida de un servidor de
CRL. OCSP no requiere memoria adicional para guardar el estado de revocación de los certificados.
• OCSP requiere que el servidor OCSP esté disponible en todo momento. CRL puede usar los datos
almacenados en caché para comprobar el estado de revocación de certificados cuando no se puede
tener acceso al servidor.
En la serie MX y los dispositivos serie SRX, CRL es el método predeterminado que se utiliza para
comprobar el estado de revocación de un certificado.
SEE ALSO
Validación de certificados
in this section
Aplicables | 74
Descripción general | 74
Automática | 74
Comproba | 75
74
En este ejemplo, se muestra cómo cargar una lista CRL manualmente en el dispositivo.
Aplicables
Antes de empezar:
1. Generar un par de claves pública y privada. Consulte Certificados digitales auto firmados.
2. Generar una solicitud de certificado. Consulte ejemplo: Generar manualmente un CSR para el
certificado local y enviarlo al servidorde la CA.
Descripción general
Puede cargar una lista CRL manualmente o puede hacer que el dispositivo la cargue automáticamente
cuando Compruebe la validez de los certificados. Para cargar una lista CRL manualmente, puede
obtenerla de una entidad emisora de certificados y transferirla al dispositivo (por ejemplo, mediante
FTP).
En este ejemplo, carga un certificado de CRL llamado revoke.crl desde el directorio/var/tmp del
dispositivo. Se llama ca-profile-ipsecal perfil de la entidad de certificación. (El tamaño máximo de archivo
es de 5 MB.)
Si ya se ha cargado una CRL en el perfil de la entidad clear security pki crl ca-profile ca-profile-ipsec
emisora de certificados, debe ejecutar primero el comando para borrar la antigua lista de revocaciones
de certificados.
Automática
in this section
Modalidades | 74
Modalidades
[edit]
user@host> request security pki crl load ca-profile ca-profile-ipsec filename /var/tmp/revoke.crl
Junos OS admite la carga de certificados de entidades emisoras en los formatos X509, PKCS #7, DER
o PEM.
Comproba
Para comprobar que la configuración funciona correctamente, especifique el show security pki crl
comando modo de funcionamiento.
Los certificados digitales se emiten durante un período de tiempo definido y no son válidos después de
la fecha de caducidad especificada. Una entidad emisora de certificados puede revocar un certificado
emitido incluyéndolo en una lista de revocación de certificados (CRL). Durante la validación del
certificado del mismo nivel, el estado de revocación de un certificado del mismo nivel se comprueba
mediante la descarga de la CRL de un servidor de CA al dispositivo local.
recibida de su par para extraer la URL para descargar dinámicamente la CRL de AC y comprobar el
estado de revocación del certificado del par. Un perfil de entidad emisora de certificados dinámico se
crea automáticamente en el dynamic-nnndispositivo local con el formato. Un perfil AC dinámico permite
que el dispositivo local descargue la CRL del AC par y compruebe el estado de revocación del certificado
del par. En , host-A puede usar los certificados Sales-AC y EE recibidos del host B para descargar
76
dinámicamente la CRL para Sales-AC y comprobar el estado de revocación del certificado de Figura 5 en
la página 76 Host-B.
Para habilitar perfiles de CA dinámicos revocation-check crl , la opción debe estar configurada en un
perfil deedit security pki ca-profile profile-nameCA principal en el nivel de jerarquía [].
}
}
}
Un perfil de entidad emisora dinámica se crea en host-A para sales-CA. La comprobación de revocación
se hereda para el perfil de CA dinámica ventas-CA de raíz-CA.
Los datos de las listas CRL descargadas de perfiles de entidades show security pki crl emisoras
dinámicas se muestran con el comando del mismo modo que las CRL descargadas por los perfiles de CA
configurados. La lista CRL de un perfil de entidad emisora dinámica se actualiza periódicamente, al igual
que las de los perfiles de CA que se configuran en el dispositivo.
El certificado de la entidad emisora es necesario para validar la lista CRL recibida de un servidor de
entidad emisora; por lo tanto, el certificado de la entidad emisora recibido de un interlocutor se
almacena en el dispositivo local. Dado que el certificado de CA no lo inscribe un administrador, solo se
utiliza para validar la CRL recibida desde el servidor de CA y no para validar el certificado del mismo
nivel.
SEE ALSO
PKI en Junos OS | 32
in this section
Aplicables | 78
Descripción general | 78
Automática | 79
78
Comproba | 79
En este ejemplo se muestra cómo configurar un perfil de autoridad de certificados con ubicaciones de
CRL.
Aplicables
Antes de empezar:
2. Crear un perfil o perfiles de entidad emisora que contengan información específica de una entidad
emisora. Consulte ejemplo: Configuración de un perfilde CA.
Descripción general
En las negociaciones de la fase 1, comprueba la lista CRL para ver si el certificado que ha recibido
durante el intercambio de ICR sigue siendo válido. Si una lista CRL no acompaña a un certificado de
entidad emisora y no está cargada en el dispositivo, Junos OS intenta recuperar la CRL a través de la
ubicación de CRL LDAP o HTTP definida en el propio certificado de entidad emisora. Si no se define
ninguna dirección URL en el certificado de la entidad emisora, el dispositivo utilizará la dirección URL del
servidor definido para dicho certificado de entidad emisora. Si no define una dirección URL de CRL para
un certificado de CA determinado, el dispositivo obtiene la CRL de la dirección URL en la configuración
del perfil de la CA.
La extensión de punto de distribución CRL (. CDP) de un certificado X509 puede agregarse tanto a una
dirección URL HTTP como a una dirección URL LDAP.
En este ejemplo, se dirige el dispositivo para comprobar la validez del perfil de CA llamado my_profile y,
si una CRL no acompaña a un certificado de CA y no se carga en el dispositivo, para recuperar la CRL de
la http://abc/abc-crl.crldirección URL.
79
Automática
in this section
Modalidades | 79
Modalidades
[edit]
user@host# set security pki ca-profile my_profile revocation-check crl url http://abc/abc-crl.crl
[edit]
user@host# commit
Comproba
Para comprobar que la configuración funciona correctamente, especifique el show security pki comando
modo de funcionamiento.
SEE ALSO
in this section
Aplicables | 80
Descripción general | 80
Automática | 80
Comproba | 81
Aplicables
Antes de configurar esta característica, es necesaria una configuración especial más allá de la
inicialización del dispositivo.
Descripción general
En este ejemplo, los certificados se comprueban manualmente para averiguar si se ha revocado un
certificado o si el certificado de la CA utilizado para crear un certificado local ya no está presente en el
dispositivo.
Cuando comprueba certificados manualmente, el dispositivo utiliza el certificado de entidad emisora (ca-
cert) para comprobar el certificado local.certlocal (). Si el certificado local es válido, y si revocation-check
está habilitado en el perfil de CA, el dispositivo comprueba que la CRL está cargada y es válida. Si la CRL
no está cargada ni es válida, el dispositivo descarga la nueva CRL.
Para AC emitidos por AC certificado, se debe configurar un DNS en la configuración del dispositivo. El
DNS debe ser capaz de resolver el host en la CRL de distribución y en la dirección URL de la lista de
certificados/revocación de CA en la configuración del perfil de la entidad emisora de certificados.
Además, debe tener acceso a la red al mismo host para que se reciban los cheques.
Automática
in this section
Modalidades | 81
81
Modalidades
[edit]
user@host> request security pki local-certificate verify certificate-id local.cert
[edit]
user@host> request security pki ca-certificate verify ca-profile ca-profile-ipsec
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security pki ca-profile
comando.
SEE ALSO
Puede optar por eliminar una CRL cargada si ya no necesita utilizarla para administrar las revocacións de
certificados y la validación.
Utilice el siguiente comando para eliminar una lista de revocación de certificados cargada:
Especifique un perfil de CA para eliminar una CRL asociada con la entidad emisora de certificados
identificada all por el perfil o para eliminar todas las CRL.
SEE ALSO
VÍNCULOS RELACIONADOS
Autoridad de certificación | 44
Validación de certificados
in this section
in this section
Validación de políticas | 83
Uso de la clave | 86
Durante la negociación ICR, el demonio de PKI de un dispositivo serie SRX valida los certificados X509
recibidos de los interlocutores VPN. La validación de certificado realizada se especifica en RFC 5280,
certificado de infraestructura de clave pública X.509de Internet y perfil de lista de revocación de
certificados (CRL). Las validaciones de certificados básicos y de cadenas de certificados son la validación
de la firma y la fecha, así como las comprobaciones de revocación. Este tema describe las validaciones
adicionales de certificados digitales realizadas por el demonio de PKI.
Validación de políticas
Los certificados X509 pueden incluir campos opcionales de validación de políticas. Si existe un campo de
validación de Directiva, la validación de la Directiva se realiza para toda la cadena de certificados,
incluidos los certificados de la entidad final (EE) y los de la entidad de certificación intermedia (CA). La
validación de políticas no es aplicable al certificado raíz. La validación de políticas garantiza que los
certificados de la CA de EE e intermedias tengan una directiva común. Si no existe ninguna directiva
común para la cadena de certificados que se valida, se produce un error en la validación de certificados.
Antes de validar la Directiva, debe generarse una cadena de certificados que contenga el certificado raíz
autofirmado, los certificados de entidad emisora intermedia y el certificado EE. La validación de políticas
se inicia con el certificado de la entidad emisora intermedia emitido por el certificado raíz firmado
automáticamente y continúa a través del certificado EE.
• policy-oids
• requireExplicitPolicy
• skipCerts
En algunas situaciones, puede ser conveniente aceptar únicamente los certificados con identificadores
de objetos de directiva conocidos (OID) de los elementos del mismo nivel. Esta configuración opcional
solo permite que la validación de certificados se realice correctamente si la cadena de certificados
recibida del interlocutor contiene al menos un OID de la Directiva que está configurado en el dispositivo
de serie SRX.
En el dispositivo de serie SRX, los OID de Directiva se configuran en policy-oids una directiva ICR con
laedit security ike policy policy-name certificateinstrucción de configuración en el nivel de jerarquía [].
Puede configurar hasta cinco OID de directiva. Para que el certificado de un par se valide correctamente,
la cadena de certificados del par debe contener al menos una de las ID de política configuradas en el
dispositivo de la serie SRX. Tenga en cuenta policy-oids que el campo de un certificado es opcional. Si
84
configura las ID de políticas en el dispositivo de la serie SRX, pero la cadena de certificados del par no
contiene ninguna IA de política, se produce un error en la validación del certificado.
Figura 6 en la página 84muestra una cadena de certificados formada por certificados para una entidad
emisora raíz, tres CA intermedias y EE. El certificado de la entidad emisora de int-CA
requireExplicitPolicy -2 contiene el campo; por lo tanto, la validación de políticas comienza con int-CA-2
y se realiza a través de EE-1. El certificado para int-CA-2 contiene los OID de directiva P1, P2 y P3. El
certificado para int-CA-3 contiene los OID de directiva P2, P3 y P4. El certificado para EE-1 contiene el
OID de directiva P2 y P5. Dado que el OID de la Directiva P2 es común a los certificados que se validan,
la validación de la Directiva se realiza correctamente.
Figura 7 en la página 85muestra una cadena de certificados formada por una entidad emisora raíz,
cuatro entidades emisoras intermedias y EE. El skipCerts valor de int-CA-1 es 12, lo que omite 12
certificados, incluido el certificado de int-CA-1. Sin embargo, skipCerts el valor se comprueba en todos
los certificados de entidades emisoras intermedias de la cadena. El skipCerts valor de int-CA-2 es 2, que
es inferior a 12, por lo que ahora se omiten 2 certificados. El skipCerts valor de int-CA-4 es 5, que es
mayor que 2, por lo que se omite el valor skipCerts int-CA-4.
La validación de certificados puede implicar una cadena de certificados que incluye una entidad de
certificación raíz, una o varias CA intermedias opcionales y un certificado EE. El número de entidades
emisoras de certificación intermedias puede aumentar según el escenario de implementación. La
validación de longitud de ruta proporciona un mecanismo para limitar el número de certificados
intermedios implicados en la validación de certificados. path-length es un campo opcional en un
certificado X509. El valor de path-length indica el número de certificados de CA intermedios no
autofirmados permitidos para la validación de certificados. El último certificado, que generalmente es el
certificado EE, no se incluye en el límite de la ruta de acceso. Si el certificado raíz contiene el path-
length valor 0, no se permiten certificados de entidades emisoras intermedias. Si el path-length valor es
1, puede haber 0 ó 1 certificados de CA intermedios.
86
Figura 8 en la página 86muestra una cadena de certificados compuesta por una entidad emisora raíz,
cuatro entidades emisoras intermedias y EE. El path-length valor en root-CA es 10, por lo que el límite
de ruta de acceso inicial de los certificados de CA intermedios no firmados automáticamente para la
validación de certificados es 10. En int-CA-1, el límite de ruta es 10-1 o 9. El path-length valor de int-
CA-1 es 4, que es menor que el límite de ruta de 9, por lo que el nuevo límite de ruta se convierte en 4.
En int-CA-2, el límite de ruta es 4-1 o 3. El path-length valor de int-CA-2 es 5, que es mayor que el
límite de ruta de acceso de 3, por lo que se omite. En int-CA-3, el límite de ruta es 3-1 o 2. El path-
length valor de int-CA-3 es 20, que es mayor que el límite de ruta de acceso de 2, por lo que también se
omite.
Uso de la clave
• En el caso de los certificados EE, si está presente el campo de uso de la digitalSignature clave
nonrepudiation pero el certificado no contiene ni indicadores, el certificado se rechazará. Si el campo
uso de la clave no está presente, no se comprueba el uso de la clave.
87
• Para AC certificados, la clave se puede usar para la validación de certificados o firmas CRL. Dado que
el demonio de PKI es responsable tanto de las descargas de validación de certificados X509 como de
las listas CRL, debe comprobarse el uso de claves antes de validar el certificado o la CRL.
En las negociaciones de fase 1 de validación de firmas de CRL, los participantes comprueban la lista
de revocación de certificados (CRL) para ver si los certificados recibidos durante un intercambio de
ICR siguen siendo válidos. La CRL se descarga periódicamente para los perfiles de CA configurados
con CRL como la comprobación de revocación de certificados. Los archivos de CRL descargados
deben comprobarse antes de descargarlos en el dispositivo. Uno de los pasos de comprobación
consiste en validar la firma de la CRL con un certificado de CA. La CRL descargada está firmado con
la clave privada del certificado de AC y debe comprobarse con la clave pública del certificado de AC
almacenada en el dispositivo. El campo uso de claves del certificado de la entidad emisora debe
contener el CRLSign indicador para comprobar la CRL descargada. Si este indicador no está presente,
la CRL se descarta.
La validación de firmas se realiza para los certificados recibidos de un interlocutor, así como para el
archivo CRL descargado de un servidor de CA. La validación de firmas implica buscar el certificado de
AC en una base de datos de AC basada en el nombre distinguido (DN) del emitidor en el certificado o en
la CRL verificada.
La búsqueda de los DN de emisor o de sujeto debe seguir estas reglas para los valores de atributo:
• Se supone que los valores de atributo codificados en diferentes tipos ASN. 1 (por ejemplo,
PrintableString y BMPString) representan cadenas diferentes.
• Los valores de atributo codificados en tipos distintos de PrintableString distinguen entre mayúsculas
y minúsculas.
SEE ALSO
in this section
Aplicables | 89
Descripción general | 90
Automática | 90
Comproba | 91
En algunas situaciones, puede ser conveniente aceptar únicamente los certificados con identificadores
de objetos de directiva conocidos (OID) de los elementos del mismo nivel. Esta configuración opcional
solo permite que la validación de certificados se realice correctamente si la cadena de certificados
recibida del interlocutor contiene al menos un OID de la Directiva que está configurado en el dispositivo
de serie SRX. En este ejemplo se muestra cómo configurar OID de directiva en la Directiva de ICR en un
dispositivo serie SRX.
Debe asegurarse de que al menos una de las ID de política configuradas en el dispositivo de la serie SRX
se incluya en un certificado o cadena de certificado de un par. Tenga en cuenta policy-oids que el campo
del certificado de un par es opcional. Si configura los CADE de políticas en una política de ICR y la
cadena de certificados del par no contiene ninguna IA de política, se produce un error en la validación
del certificado para el par.
Aplicables
Antes de empezar:
• Asegúrese de que está utilizando Junos OS versión 12.3 X48-D10 o posterior para serie SRX
dispositivos.
• Configure un túnel VPN de IPsec. Consulte información general sobre la configuración de IPSec VPN
con Autokey ICR. En este ejemplo no se muestra la configuración de túnel VPN completa de ICR
Phase 1 y Phase 2.
90
Descripción general
Este ejemplo muestra una configuración de directiva ICR en la que se especifican los OID
2.16.840.1.101.3.1.48.2 y 5.16.40.1.101.3.1.55.2 de la Directiva. La Directiva de ICR ike_cert_pol hace
referencia a la ike_cert_prop propuesta de ICR, que no se muestra. El certificado local en el serie SRX
dispositivo es LC-Igloo-root.
Automática
in this section
Modalidades | 90
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Resultados
Desde el modo de configuración, escriba el show security ike policy ike_cert_pol comando para
confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones
de este ejemplo para corregir la configuración.
Comproba
in this section
Purpose
Intervención
En modo operativo, escriba el show security pki ca-certificate ca-profile ca-tmp comando.
Purpose
Si el certificado del par se valida correctamente, ICR y asociaciones de seguridad IPsec se establecen. Si
se produce un error en la validación del certificado del par, no ICR asociación de seguridad.
Intervención
En modo operativo, escriba los show security ike security-associations comandos show security ipsec
security-associations y.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. En este caso, compruebe
el mensaje de PKID_CERT_POLICY_CHECK_FAIL en los registros del sistema. Este mensaje indica que la
cadena de certificados del par no contiene una OID de política configurada en el dispositivo de la serie
SRX. Compruebe los valores de la cadena de certificados del par policy-oids con los valores configurados
en el dispositivo de la serie SRX.
También podría ser que la cadena de certificados del par no contiene ningún policy-oids campo, que son
campos opcionales. Si éste es el caso, se produce un error en la validación de certificados si se han
configurado OID de directiva en el dispositivo serie SRX.
SEE ALSO
in this section
Ejemplo Configurando un dispositivo para validación de cadena de certificado de mismo nivel | 117
Intercambio de claves por red versión 2 (IKEv2) es un protocolo de túnel basado en IPsec que
proporciona un canal de comunicación VPN seguro entre dispositivos VPN del mismo nivel y define la
negociación y autenticación para las asociaciones de seguridad IPsec (SA) de manera protegida.
in this section
ICR proporciona administración de túnel para IPsec y autentica a las entidades finales. ICR realiza un
intercambio de claves Diffie-Hellman (DH) para generar un túnel IPsec entre los dispositivos de red. Los
túneles IPsec generados por ICR se utilizan para cifrar, descifrar y autenticar el tráfico de usuario entre
los dispositivos de red en la capa IP.
97
Cuando un paquete de texto sin formato llega Juniper Networks un dispositivo de Juniper Networks que
requiere tunelización y no existe ninguna SA de fase 2 activa para ese túnel, Junos OS comienza ICR
negociaciones y descarta el paquete. Las direcciones de origen y de destino del encabezado del paquete
IP son las de las puertas de enlace ICR local y remota, respectivamente. En la carga del paquete IP, hay
un segmento UDP encapsulando un paquete ISAKMP (ICR). El formato para ICR paquetes es el mismo
para la fase 1 y la fase 2. Consulte Figura 10 en la página 99 .
98
Mientras tanto, el host de origen ha enviado de nuevo el paquete interrumpido. Normalmente, cuando
llega el segundo paquete, se completan las negociaciones de ICR y Junos OS protege el paquete y todos
los paquetes subsiguientes en la sesión, con IPSec antes de reenviarlo.
99
El campo siguiente carga contiene un número que indica uno de los siguientes tipos de carga:
• 0002: La carga de negociación de SA contiene una definición para una SA de fase 1 o fase 2.
• 0008: la carga de transformación se encapsula en una carga de propuesta que se encapsula en una
carga de SA.
• 0010: la carga de intercambio de claves (KE) contiene información necesaria para llevar a cabo un
intercambio de claves, como un valor DH público.
Los identificadores son ICR tipos de ID, como FQDN, U-FQDN, dirección IP y ASN. 1_DN.
• 0100: la carga hash (HASH) contiene el resultado de síntesis de una función hash determinada.
• 0400: La carga Nonce (Nx) contiene información pseudoalearia necesaria para el intercambio.
• 2000: La carga de ID de proveedor (VID) se puede incluir en cualquier lugar en las negociaciones de
fase 1. Junos OS lo utiliza para marcar la compatibilidad con TDR-T.
101
Cada carga ISAKMP comienza con el mismo encabezado genérico, tal y como Figura 11 en la página
101se muestra en la.
Puede haber varias cargas ISAKMP encadenadas, con cada tipo de carga subsiguiente indicado por el
valor en el campo Next header (encabezado siguiente). Un valor de 0000 indica la última carga ISAKMP.
Consulte Figura 12 en la página 101 , para obtener un ejemplo.
Una vez ICR se completan las negociaciones y las dos puertas de enlace de ICR establecen asociaciones
de seguridad (AS) de fase 1 y fase 2, todos los paquetes subsiguientes se reenvía mediante el túnel. Si la
SA de fase 2 especifica el protocolo de seguridad de encapsulación (ESP) en modo de túnel, el paquete
se parece al que se muestra en Figura 13 en la página 102 . El dispositivo agrega dos encabezados
adicionales al paquete original que envía el host que inicia el inicio.
Tal y como Figura 13 en la página 102se muestra en, el paquete que crea el host de inicio incluye la
carga, el encabezado TCP y el encabezado de IP interior (IP1).
El encabezado IP del enrutador (IP2), que Junos OS agrega, contiene la dirección IP de la puerta de
enlace remota como dirección IP de destino y la dirección IP del enrutador local como dirección IP de
origen. En Junos OS también se agrega un encabezado ESP entre los encabezados IP externos e
103
internos. El encabezado ESP contiene información que permite al elemento remoto del mismo nivel
procesar correctamente el paquete cuando lo recibe. Esto se muestra en Figura 14 en la página 103.
El campo siguiente encabezado indica el tipo de datos del campo carga. En el modo de túnel, este valor
es 4, lo que indica que un paquete IP está contenido dentro de la carga. Consulte Figura 15 en la página
104la.
in this section
ICR maneras de intercambiar claves para el cifrado y la autenticación de forma segura a través de un
medio no seguro, como Internet. ICR habilita un par de puertas de enlace de seguridad para: Establezca
dinámicamente un túnel seguro en el que las puertas de enlace de seguridad puedan intercambiar
información de túnel y clave. Configure túneles o SA de nivel de usuario, incluidas las negociaciones de
atributos de túnel y la administración de claves. Estos túneles también pueden actualizarse y terminarse
encima del mismo canal seguro. ICR emplea métodos Diffie-Hellman y es opcional en IPsec (las claves
compartidas se pueden escribir manualmente en los puntos de conexión).
• Clúster de chasis.
• AutoVPN.
• Selectores de tráfico.
• Supervisión de VPN.
Una VPN peer está configurada como IKEv1 o IKEv2. Cuando un elemento del mismo nivel se configura
como IKEv2, no puede recurrir a IKEv1 si su punto de conexión remoto inicia la negociación de IKEv1.
De forma predeterminada, los dispositivos de seguridad Juniper Networks son los homólogos de IKEv1.
Utilice la version v2-only instrucción de configuración en eledit security ike gateway gw-namenivel de
jerarquía [] para configurar IKEv2.
La versión ICR se muestra en el resultado de los show security ike security-associations comandos
show security ipsec security-associations de funcionamiento de la CLI y.
Juniper Networks admiten hasta cuatro propuestas para negociaciones de fase 2, lo que le permite
definir cómo restrictivo es un rango de parámetros de túnel que va a aceptar. Junos OS proporciona
conjuntos predefinidos de propuestas de la fase 2 estándar, compatibles y básicos. También puede
definir propuestas personalizadas de fase 2.
La carga de configuración es Intercambio de claves por red opción versión 2 (IKEv2) que se ofrece para
propagar la información de aprovisionamiento de un respondedor a un iniciador. La carga de
configuración de IKEv2 solo se admite con VPN basadas en rutas.
RFC 5996, protocolo Intercambio de claves por red versión 2 (IKEv2), define 15 atributos de
configuración diferentes que el respondedor puede devolver al iniciador. Tabla 3 en la página 106
describe los atributos de configuración IKEv2 compatibles con dispositivos de la serie SRX.
Para que el ICR contestadora proporcione al iniciador la información de aprovisionamiento, debe adquirir
la información de un origen especificado, como un servidor RADIUS. La información de
aprovisionamiento también puede devolverse desde un servidor DHCP a través de un servidor RADIUS.
En el servidor RADIUS, la información del usuario no debe incluir una contraseña de autenticación. El
perfil del servidor RADIUS está enlazado a la puerta de aaa access-profile profile-name enlace de ICR
utilizandoedit security ike gateway gateway-namela configuración en el nivel de jerarquía [].
108
A partir de Junos OS versión 20.3R1 versión en la línea de dispositivos SRX5000, hemos mejorado la
carga de configuración de IKEv2 para:
• Compatibilidad con grupos de direcciones locales IPv4 e IPv6. También puede asignar una dirección
IP fija a un par.
Durante ICR establecimiento, el iniciador solicita una dirección IPv4, una dirección IPv6, una
dirección DNS o una dirección WINS del respondedor. Después de que el respondedor haya
autenticado al iniciador de forma correcta, asigna una dirección IP desde un grupo de direcciones
local o mediante RADIUS servidor. Según la configuración, esta dirección IP se asigna dinámicamente
cada vez que un par se conecta o se asigna como una dirección IP fija. Si el RADIUS responde con un
grupo enmarcado, Junos OS asigna una dirección IP o información basada en la configuración del
grupo local correspondiente. Si configura tanto el grupo de direcciones local como RADIUS servidor,
la dirección IP asignada desde un servidor RADIUS tiene prioridad sobre el grupo local. Si configura el
grupo de direcciones IP locales y el servidor RADIUS no devuelve ninguna dirección IP, el grupo local
asigna la dirección IP a la solicitud.
• RADIUS los mensajes de inicio y de detenerse de la cuenta informan del estado del túnel o del par
del RADIUS servidor. Estos mensajes se pueden utilizar con fines de seguimiento o notificaciones a
subsistemas, como un servidor DHCP.
Asegúrese de que el RADIUS servidor admite los mensajes de inicio o detención de la cuenta.
También asegúrese de que tanto los dispositivos de la serie SRX como el RADIUS servidor tengan la
configuración adecuada para rastrear estos mensajes.
• La introducción de la compatibilidad con IPv6 permite túneles de pila dual mediante carga de
configuración. Durante el proceso de inicio de sesión, ICR solicitudes para direcciones IPv4 e IPv6.
AAA permitir el inicio de sesión solo si todas las direcciones solicitadas se asignaron correctamente.
ICR termina la negociación si no se asigna la IP solicitada.
En una VPN basada en la ruta, las interfaces de túnel seguro (st0) funcionan en el modo punto a
multipunto o punto a punto. Ahora se admite la asignación de direcciones mediante la carga de
configuración IKEv2 para el modo punto a multipunto o punto a punto. Para interfaces de punto a
multipunto, las interfaces deben estar numeradas y las direcciones de la carga de configuración
INTERNAL_IP4_ADDRESS tipo de atributo deben estar dentro del rango de subred de la interfaz de
punto a multipunto asociada.
A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para las solicitudes de
carga de configuración IKEv2 para una configuración ICR puerta de enlace. La contraseña común en un
intervalo de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta contraseña
se usa entre el dispositivo serie SRX y el servidor RADIUS cuando el dispositivo serie SRX solicita una
dirección IP en nombre de un par IPsec remoto mediante carga de configuración IKEv2. RADIUS
servidor coincide con los credenciales antes de que proporciona cualquier información IP al dispositivo
109
de la serie SRX para la solicitud de carga de configuración. Puede configurar la contraseña común
mediante una instrucción config-payload-password configured-password de configuración en el nivel de
jerarquía [ edit security ike gateway gateway-name aaa access-profile access-profile-name ].
Tanto el dispositivo de la serie SRX como el servidor de RADIUS deben tener la misma contraseña
configurada y el servidor radius debe estar configurado para usar el protocolo de autenticación de
contraseña (PAP) como protocolo de autenticación. Sin esto, el establecimiento de túneles no tendrá
éxito.
Figura 16 en la página 109 muestra un flujo de trabajo típico para una carga de configuración IKEv2.
La característica de carga de configuración de IKEv2 solo se admite para interfaces de túnel seguro
punto a multipunto (st0). Las interfaces punto a multipunto deben estar numeradas y las direcciones que
se proporcionan en la carga de configuración deben estar dentro del rango de subred de la interfaz de
punto a multipunto asociada.
110
Se requiere que el flujo de trabajo arranque y aprovisione una celda pico y se introduce en el servicio
incluye cuatro fases distintas:
1. Adquisición de direcciones iniciales: la célula pico se envía desde la fábrica con la siguiente
información:
• Configuración del túnel de puerta de enlace segura hacia el dispositivo serie SRX
La celda pico inicia y adquiere la dirección que se utilizará para ICR negociación desde un servidor
DHCP. A continuación, se crea un túnel para la puerta de enlace segura en el dispositivo de serie SRX
que utiliza esta dirección. El servidor DHCP asigna también al tráfico de funcionamiento,
administración y administración (mantenimiento seguros) un uso en la red protegida.
2. Aprovisionamiento de celda Pico: mediante su dirección de tráfico OAM asignada, la celda pico
solicita su información de aprovisionamiento (normalmente certificado de operador, licencia, software
e información de configuración) de los servidores dentro de la red protegida.
3. Reinicio: la pico cell se reinicia y utiliza la información de aprovisionamiento adquirida para hacerla
específica del modelo de red y operación del proveedor de servicios.
4. Provisión de servicio: cuando la celda pico entra en servicio, utiliza un único certificado que contiene
nombre distinguido (DN) y valores de nombre alternativo de sujeto con un FQDN para crear dos
túneles a la puerta de enlace segura en el dispositivo de la serie SRX: uno para el tráfico
mantenimiento seguros y otro para el tráfico de datos de un proyecto de colaboración de tercera
generación (3GPP).
SEE ALSO
ICR propuesta
La ICR define los algoritmos y claves que se utilizan para establecer la conexión ICR segura con la puerta
de enlace de seguridad par. Puede configurar una o más ICR propuestas. Cada propuesta es una lista de
atributos ICR para proteger la ICR conexión entre el host ICR y su par.
Para configurar una ICR propuesta, incluya la instrucción y proposal especifique un nombre en el nivel
de jerarquía [ edit security ike ]:
ICR de desarrollo
Una política ICR define una combinación de parámetros de seguridad (ICR propuestas) que se usarán
durante ICR negociación. Define una dirección par y las propuestas necesarias para esa conexión. Según
el método de autenticación que se utilice, define la clave previamente compartida para el par
determinado o el certificado local. Durante la ICR, ICR busca una política de ICR que sea la misma en
ambos pares. El par que inicia la negociación envía todas sus políticas al par remoto y el par remoto
intenta encontrar una coincidencia. Se hace una coincidencia cuando ambas políticas de los dos pares
tienen una propuesta que contiene los mismos atributos configurados. Si las duraciones no son
idénticas, se utilizará la duración más corta entre las dos políticas (del host y el par). La clave configurada
previamente compartida también debe coincidir con su par.
En primer lugar, puede configurar una o más ICR propuestas; a continuación, asocie estas propuestas
con ICR política.
Para configurar una política ICR, incluya la instrucción y especifique un nombre de política policy en el
nivel de jerarquía [ edit security ike ]:
Reesclave y reauteticación
in this section
Límites | 113
112
Descripción general
Con IKEv2, la regeneración de claves y la nueva autenticación son procesos independientes. El cambio
de claves establece nuevas claves para el SA (ICR Security Association) y restablece los contadores de ID
de mensajes, pero no reautentica los homólogos. La nueva autenticación comprueba que los homólogos
VPN conservan su acceso a las credenciales de autenticación. La reautenticación establece claves
nuevas para el ICR SA y las SA secundarias; ya no son necesarias las claves de cualquier SA pendiente
ICR o SA secundaria. Después de que se crean las nuevas SA de ICR y secundarias, se eliminan el ICR
antiguo y las SA secundarias.
Características compatibles
Límites
• Con TDR-T, puede crearse una nueva SA de ICR con puertos diferentes de la ICR SA anterior. En esta
situación, es posible que no se elimine el SA ICR antiguo.
• En un escenario TDR-T, el iniciador detrás del dispositivo TDR puede convertirse en el contestador
después de una nueva autenticación. Si la sesión de TDR expira, el dispositivo TDR podría descartar
los nuevos ICR paquetes que puedan llegar a un puerto diferente. TDR-T keepalive o DPD deben
estar habilitadas para mantener activas las TDR sesión. Para AutoVPN, recomendamos que la
frecuencia de reautenticación configurada en los radios sea más pequeña que la frecuencia de
reautenticación configurada en el concentrador.
in this section
Cuando se emplea una jerarquía de un solo nivel para la autenticación basada en certificados, todos los
certificados EE en la red deben estar firmados por la misma CA. Todos los dispositivos Firewall deben
tener el mismo certificado de CA inscrito para validar el certificado del mismo nivel. La carga de
certificado enviada durante el ICR negociación solo contiene certificados EE.
114
De manera alternativa, la carga de certificado enviada durante la negociación de ICR puede contener
una cadena de EE y certificados de CA. Una cadena de certificados es la lista de certificados necesarios
para validar el certificado EE de un par. La cadena de certificados incluye el certificado EE y cualquier
certificado de CA que no esté presente en el elemento del mismo nivel local.
El administrador de red debe asegurarse de que todos los interlocutores que participan en una
negociación de ICR tengan al menos una entidad emisora de certificados de confianza común en sus
respectivas cadenas de certificado. La entidad emisora de certificados de confianza común no tiene que
ser necesariamente la entidad emisora raíz. El número de certificados de la cadena, incluidos los
certificados de EEs y la de la mayor parte de la entidad emisora en la cadena, no puede ser superior a 10.
A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del mismo nivel
configurada con un servidor de CA especificado o con un grupo de servidores de entidad emisora. Con
las cadenas de certificados, la entidad emisora raíz debe coincidir con el grupo de CA de confianza o el
servidor de CA configurado en la Directiva de ICR
garantía de calidad, que se identifican como dev-CA y QA-CA respectivamente. Host-A recibe su
certificado EE de dev-CA, mientras que host-B recibe su certificado EE de sales-CA.
Cada dispositivo final debe estar cargado con los certificados de la entidad emisora en su jerarquía. Los
hosts a deben tener certificados raíz-CA, ENG-CA y dev-CA; Los certificados de CA y AC-CA no son
necesarios. Host-B debe tener certificados raíz de CA y de ventas-CA. Los certificados se pueden cargar
manualmente en un dispositivo o inscribirse con el proceso de inscripción de certificados simple (SCEP).
Cada dispositivo de extremo debe estar configurado con un perfil de CA para cada CA de la cadena de
certificados. El resultado siguiente muestra los perfiles de CA configurados en host-A:
ca-identity Eng-CA;
enrollment {
url “www.example.net/scep/Eng/”;
}
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url “www.example.net/scep/Dev/”;
}
}
}
SEE ALSO
in this section
Aplicables | 117
Automática | 118
Comproba | 127
Este ejemplo muestra cómo configurar un dispositivo para las cadenas de certificados que se utilizan
para validar los dispositivos del mismo nivel durante ICR negociación.
Aplicables
Antes de comenzar, obtenga la dirección de la entidad EMISORa de certificados y la información que
requieren (como la contraseña de desafío) cuando envíe solicitudes para certificados locales.
Descripción general
in this section
Topología | 117
Este ejemplo muestra cómo configurar un dispositivo local para las cadenas de certificados, inscribir CA
y certificados locales, comprobar la validez de los certificados inscritos y comprobar el estado de
revocación del dispositivo del mismo nivel.
Topología
En este ejemplo, se muestran los comandos de configuración y operativos del host-A Figura 18 en la
página 118, como se muestra en la. Un perfil de AC dinámico se crea automáticamente en host-A para
118
permitir que host-A descargue la CRL de Sales-AC y compruebe el estado de revocación del certificado
de Host-B.
En este ejemplo, se muestra la configuración VPN de IPsec para la negociación de la fase 1 y la fase 2
para el host-A. El dispositivo del mismo nivel (host-B) debe configurarse correctamente para que las
opciones Phase 1 y Phase 2 se negocien satisfactoriamente y se establezcan asociaciones de seguridad
(SA). Consulte configuración de identificadores de ICR remotos para VPN de sitio a sitio para obtener
ejemplos acerca de la configuración de dispositivos del mismo nivel para VPN.
Automática
in this section
Configurar perfiles de CA
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Resultados
Desde el modo de configuración, escriba el show security pki comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@host# show security pki
ca-profile Root-CA {
ca-identity Root-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Root/";
}
revocation-check {
crl ;
}
}
ca-profile Eng-CA {
ca-identity Eng-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Eng/";
}
revocation-check {
crl ;
}
121
}
ca-profile Dev-CA {
ca-identity Dev-CA;
enrollment {
url "http:/;/198.51.100.230:8080/scep/Dev/";
}
revocation-check {
crl ;
}
}
Inscribir certificados
user@host> request security pki generate-key-pair certificate-id Host-A type rsa size 1024
123
user@host> request security pki local-certificate enroll certificate-id Host-A ca-profile Dev-CA
challenge-password example domain-name host-a.example.net email host-a@example.net subject
DC=example,CN=Host-A, OU=DEV,O=PKI,L=Sunnyvale,ST=CA,C=US
CA profile: Eng-CA
CRL version: V00000001
CRL issuer: C = us, O = example, CN = Eng-CA
Effective date: 08-22-2012 17:46
Next update: 10-24-2015 03:33
CA profile: Dev-CA
CRL version: V00000001
CRL issuer: C = us, O = example, CN = Dev-CA
124
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Resultados
Desde el modo de configuración, escriba los show security ike comandos y show security ipsec para
confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones
de configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ike
proposal ike_cert_prop_01 {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ike_cert_pol_01 {
mode main;
proposals ike_cert_prop_01;
certificate {
local-certificate Host-A;
}
}
gateway ike_cert_gw_01 {
ike-policy ike_cert_pol_01;
address 192.0.2.51;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_prop_01 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 300;
}
policy ipsec_pol_01 {
proposals ipsec_prop_01;
}
vpn ipsec_cert_vpn_01 {
bind-interface st0.1;
ike {
gateway ike_cert_gw_01;
ipsec-policy ipsec_pol_01;
127
}
}
Comproba
in this section
Si la validación de certificados es correcta durante la negociación de ICR entre dispositivos del mismo
nivel, se establecen tanto asociaciones de seguridad (SA) ICR como IPsec.
Si el certificado es válido, el ICR SA estará activo. La SA de ICR está inactiva y se forma una asociación
de IPSEC si el certificado se revoca, solo si la comprobación de revocación se configuró en el dispositivo
del mismo nivel
Purpose
Intervención
Purpose
Intervención
in this section
Relacionado
Si se produce un error en la validación del certificado ICR durante la negociación entre dispositivos par,
compruebe que no se revocó el certificado del par. Un perfil AC dinámico permite que el dispositivo
local descargue la CRL del AC par y compruebe el estado de revocación del certificado del par. Para
habilitar perfiles de CA dinámicos revocation-check crl , la opción debe estar configurada en un perfil de
CA principal.
Solución
1. Identifique el perfil AC dinámico que mostrará la CRL para el dispositivo par ingresando el show
security pki crl comando desde el modo operativo.
CA profile: Eng-CA
CRL version: V00000001
CRL issuer: C = us, O = example, CN = Eng-CA
Effective date: 08-22-2012 17:46
Next update: 10-24-2015 03:33
CA profile: Dev-CA
CRL version: V00000001
CRL issuer: C = us, O = example, CN = Dev-CA
Effective date: 09-14-2012 21:15
Next update: 09-26-2012 11:02
CA profile: dynamic-001
CRL version: V00000001
CRL issuer: C = us, O = example, CN = Sales-CA
Effective date: 09-14-2012 21:15
Next update: 09-26-2012 11:02
El perfil de AC se crea automáticamente en host-A para que host-A pueda descargar la CRL del AC
(ventas AC) del host-B y comprobar el estado de revocación del certificado del dynamic-001 par.
2. Mostrar información de CRL para el perfil AC dinámico ingresando el show security pki crl ca-profile
dynamic-001 detail comando desde el modo operativo.
Escríba
Revocation List:
Serial number Revocation date
10647C84 09-19-2012 17:29 UTC
SEE ALSO
Fragmentación ikEv2
in this section
Automática | 131
ADVERTENCIAS | 131
Fragmentación de mensajes
La fragmentación de mensajes IKEv2, tal como se describe en RFC 7383, fragmentación de mensajes del
protocolo Intercambio de claves por red versión 2 (IKEv2),permite que IKEv2 funcione en entornos en
los que es posible que se bloqueen fragmentos de IP y los pares no puedan establecer una asociación de
seguridad IPsec (SA). La fragmentación de IKEv2 divide un mensaje IKEv2 grande en un conjunto de
otros más pequeños, de modo que no hay fragmentación en el nivel de IP. La fragmentación tiene lugar
antes de que el mensaje original se cifre y se autentique, de forma que cada fragmento se cifre y se
autentique por separado. En el receptor, los fragmentos se recolectan, comprueban, descifran y se
combinan en el mensaje original.
Para que se produzca la fragmentación de IKEv2, ambos interlocutores VPN deben indicar la
compatibilidad con la fragmentación mediante la inclusión de la carga de notificación
IKEV2_FRAGMENTATION_SUPPORTED en IKE_SA_INIT Exchange. Si ambos interlocutores indican
compatibilidad de fragmentación, depende del iniciador del intercambio de mensajes determinar si se
utiliza la fragmentación IKEv2 o no.
131
En serie SRX dispositivos, se permite un máximo de 32 fragmentos por mensaje IKEv2. Si el número de
fragmentos del mensaje IKEv2 que se va a enviar o recibir es superior a 32, los fragmentos se eliminarán
y no se establecerá el túnel. No se admite la retransmisión de fragmentos de mensajes individuales
Automática
En los dispositivos serie SRX, la fragmentación de IKEv2 está habilitada de forma predeterminada para
los mensajes IPv4 e IPv6. Para deshabilitar la fragmentación de IKEv2 disable , use la instrucciónedit
security ike gateway gateway-name fragmentationen el nivel de jerarquía []. También puede utilizar la
size instrucción para configurar el tamaño del paquete en el que se fragmentan los mensajes; el tamaño
del paquete oscila entre el 500 y el 1300 bytes. Si size no está configurado, el tamaño predeterminado
del paquete es 576 bytes para el tráfico IPv4 y 1280 bytes para el tráfico IPv6. Un paquete IKEv2 mayor
que el tamaño del paquete configurado está fragmentado.
Una vez habilitada o habilitada la fragmentación de IKEv2 o se cambie el tamaño del fragmento de
paquete, se desconectarán los túneles VPN alojados en la puerta de enlace de ICR e ICR, y se
renegociarán las SA IPsec.
ADVERTENCIAS
• SNMP.
SEE ALSO
En este ejemplo se muestra cómo enlazar un servidor de CA de confianza a una directiva de ICR del
elemento del mismo nivel.
Antes de comenzar, debe disponer de una lista de todas las entidades de certificación de confianza que
desea asociar con la Directiva de ICR del interlocutor.
En este ejemplo, se crea un perfil root-ca de CA con el root-ca-identity nombre y se asocia a al perfil.
[edit]
user@host# set security pki ca-profile root-ca ca-identity root-ca
[edit]
user@host# set security ike proposal ike_prop authentication-method rsa-signatures
[edit]
user@host# set security ike proposal ike_prop dh-group group2
user@host# set security ike proposal ike_prop authentication-algorithm sha-256
user@host# set security ike proposal ike_prop encryption-algorithm aes-256-cbc
[edit]
user@host# set security ike policy ike_policy proposals ike_prop
[edit]
user@host# set security ike policy ike_policy certificate local-certificate SPOKE
133
[edit]
user@host# set security ike policy ike_policy certificate trusted-ca ca-profile root-ca
Para ver los perfiles de CA y los grupos de CA de confianza configurados show security pki en su
dispositivo, ejecute el comando.
El show security ike comando muestra el grupo de perfiles de CA bajo la directiva ike_policy ICR
denominada y el certificado asociado a la Directiva de ICR.
SEE ALSO
Este tema muestra cómo configurar los túneles: solo responden en Intercambio de claves por red (ICR).
Iniciar los túneles desde el interlocutor remoto y enviar el tráfico a través de todos los túneles.
Especifica cuándo se activa ICR.
134
A partir de Junos OS versión 19.1R1, en la línea de dispositivos SRX5000, la opción establecer túneles
admite los valores y en el nivel responder-onlyresponder-only-no-rekey de [edit security ipsec vpn vpn-
name] jerarquía.
Las opciones y se admiten en la línea de dispositivos responder-only SRX5000 con una tarjeta
responder-only-no-rekey SPC3 solo si la está junos-ike-package instalada. Estas opciones solo se
admiten en una VPN de sitio a sitio. Estas opciones no se admiten en vpn automática.
Las opciones y no establecen ningún túnel VPN desde el dispositivo, por lo que el túnel VPN se
responder-only inicia desde el par responder-only-no-rekey remoto. Cuando configure, un túnel
establecido vuelve a clave ICR y IPsec según los valores de vida responder-only ICR e IPsec
configurados. Cuando configure, un túnel establecido no reclame desde el dispositivo y depende del par
remoto responder-only-no-rekey para iniciar la reclame. Si el interlocutor remoto no inicia la
regeneración de claves, la destrucción del túnel se produce cuando caduca la duración dura.
Antes de empezar:
• Comprender cómo establecer un túnel AutoKey ICR IPsec. Lea Introducción a IPSec VPN.
ike {
gateway IKE_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels responder-only-no-rekey;
En el caso de varios objetos de VPN, tendrá prioridad el modo de solo respondedor. Si alguna de las
VPN de una puerta de enlace está configurada con el modo de solo respondedor, todas las VPN de la
puerta de enlace deben configurarse con el modo de solo respondedor.
release-history
18.1R1 A partir de Junos OS versión 18.1 R1, se puede llevar a cabo la validación de una ICR del
mismo nivel configurada con un servidor de CA especificado o con un grupo de servidores
de entidad emisora.
VÍNCULOS RELACIONADOS
Autoridad de certificación | 44
in this section
Compatibilidad de características VPN IPsec en la línea de dispositivos SRX5000 con SRX5K-SPC3 y vSRX
instancias con un paquete nuevo | 156
Una VPN es una red privada que utiliza una red pública para conectar dos o más sitios remotos. En lugar
de utilizar conexiones dedicadas entre redes, las VPN utilizan conexiones virtuales enrutadas (de túnel) a
través de redes públicas. IPsec VPN es un protocolo que consta de un conjunto de estándares que se
utiliza para establecer una conexión VPN.
in this section
Una VPN proporciona un medio por el que los equipos remotos se comunican de forma segura a través
de una WAN pública, como Internet.
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico
remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos
tales como enrutadores, conmutadores y otros equipos de red que forman la WAN pública. Para
proteger la comunicación VPN mientras se pasa a través de la WAN, los dos participantes crean un túnel
de seguridad IP (IPsec).
El término túnel no denota modo de túnel (consulte Procesamiento de paquetes en modo de túnel). En
su lugar, hace referencia a la conexión IPsec.
y automática de asociaciones de seguridad (SAs) y la distribución de claves, todos los atributos para los
que se recopilan en un dominio de interpretación (DOI). El DOI de IPsec es un documento que contiene
definiciones para todos los parámetros de seguridad necesarios para la negociación correcta de un túnel
VPN: básicamente, todos los atributos necesarios para sa y ICR negociación. Consulte RFC 2407 y RFC
2408 para obtener más información.
Asociaciones de seguridad
Una asociación de seguridad (SA) es un acuerdo unidireccional entre los participantes de la VPN en
relación con los métodos y parámetros que se utilizan para proteger un canal de comunicación. La
comunicación bidireccional completa requiere al menos dos SA, uno para cada dirección. A través de la
SA, un túnel IPsec puede proporcionar las siguientes funciones de seguridad:
Las funciones de seguridad que emplee dependerán de sus necesidades. Si sólo necesita autenticar el
origen del paquete IP y la integridad del contenido, puede autenticar el paquete sin aplicar ningún
cifrado. Por otro lado, si solo le preocupa conservar la privacidad, puede cifrar el paquete sin aplicar
ningún mecanismo de autenticación. Opcionalmente, puede cifrar y autenticar el paquete. La mayoría de
los diseñadores de seguridad de red deciden cifrar, autenticar y reproducir la protección de su tráfico
VPN.
Un túnel IPsec se compone de un par de SA unidireccionales (una SA para cada dirección del túnel) que
especifican el índice de parámetros de seguridad (SPI), la dirección IP de destino y el protocolo de
seguridad (encabezado de autenticación [AH] o la carga de seguridad de encapsulación [ESP] empleados.
Un SA agrupa los siguientes componentes para proteger las comunicaciones:
• Modo Protocolo, ya sea de transporte o de túnel. Los dispositivos Junos OS siempre utilizan el modo
de túnel. (Consulte procesamiento de paquetes en modo de túnel.)
• Dirección IP de destino.
138
Para el tráfico de VPN saliente, la Directiva invoca la SA asociada con el túnel VPN.
La distribución y administración de claves son críticas para el uso correcto de VPN. Junos OS admite la
tecnología IPsec para crear túneles VPN con tres tipos de mecanismos de creación de claves:
• Tecla manual
Puede elegir su mecanismo de creación de claves (también llamado método de autenticación) durante la
configuración de la propuesta de fase 1 y fase 2. Consulte "Negociación de túnel IPsec" en la página
142la.
Tecla manual
Con las claves manuales, los administradores de ambos extremos de un túnel configuran todos los
parámetros de seguridad. Se trata de una técnica viable para redes pequeñas y estáticas en las que la
distribución, el mantenimiento y el seguimiento de claves no son difíciles. Sin embargo, la distribución
segura de configuraciones clave manuales en grandes distancias plantea problemas de seguridad. Aparte
de pasar las teclas frontales, no puede estar completamente seguro de que las claves no se han visto
comprometidas durante la transmisión. Además, siempre que desee cambiar la clave, se le plantearán los
mismos problemas de seguridad que cuando lo distribuyó inicialmente.
AutoKey ICR
Cuando necesite crear y administrar varios túneles, necesitará un método que no requiera que configure
cada elemento manualmente. IPsec admite la generación y negociación automatizadas de claves y
asociaciones de seguridad mediante el protocolo Intercambio de claves por red (ICR). Junos OS se refiere
a esta negociación automatizada de túnel como AutoKey ICR y admite AutoKey ICR con claves
previamente compartidas y AutoKey ICR con certificados.
• Clave automática ICR con claves previamente compartidas: mediante el uso de ICR de clave
automática con claves previamente compartidas para autenticar ICR los participantes en una sesión
de ICR, cada lado debe configurar e intercambiar de antemano la clave previamente compartida. En
este sentido, el problema de la distribución segura de claves es el mismo que con las claves manuales.
Sin embargo, una vez distribuido, una Autokey, a diferencia de la clave manual, puede cambiar
automáticamente sus claves a intervalos predeterminados mediante el protocolo ICR. Las claves que
139
Una clave previamente compartida es una clave para el cifrado y el descifrado, que ambos
participantes deben tener antes de iniciar la comunicación.
• Clave automática ICR con certificados: cuando se utilizan certificados para autenticar a los
participantes durante una negociación de ICR de clave automática, cada lado genera un par de claves
pública y privada y adquiere un certificado. Siempre que la autoridad de certificación emisora (AC)
sea de confianza para ambos lados, los participantes pueden recuperar la clave pública del par y
comprobar la firma del par. No es necesario hacer un seguimiento de las claves y SAs; ICR lo hace
automáticamente.
Intercambio Diffie-Hellman
Un intercambio Diffie-Hellman (DH) permite que los participantes generen un valor secreto compartido.
La fortaleza de la técnica es que permite a los participantes crear el valor secreto a través de un medio
no seguro sin pasar el valor secreto a través del cable. El tamaño del módulo principal usado en el
cálculo de cada grupo difiere como se muestra en la siguiente tabla. Las operaciones de intercambio
Diffie Hellman (DH) se pueden realizar en software o hardware. Cuando estas operaciones de
intercambio se realizan en hardware, utilizamos la criptografía de tecnología QuickAssist (QAT). A
continuación, se enumeran diferentes grupos Diffie Hellman (DH) y se especifica si la operación
realizada para ese grupo se encuentra en Tabla 4 en la página 139 el hardware o en el software.
Tabla 4: Los grupos Diffie Hellman (DH) y sus operaciones de intercambio llevaron a cabo
Tabla 4: Los grupos Diffie Hellman (DH) y sus operaciones de intercambio llevaron a cabo (Continued)
A partir de Junos OS versión 19.1R1, los dispositivos serie SRX son compatibles con los grupos DH 15,
16 y 21.
Dado que el módulo para cada grupo DH tiene un tamaño diferente, los participantes deben aceptar que
se utilice el mismo grupo.
IPsec utiliza dos protocolos para proteger las comunicaciones en la capa IP:
• Carga de seguridad de encapsulación (ESP): un protocolo de seguridad para cifrar todo el paquete IP
(y autenticar su contenido)
Para cada túnel VPN, se instalan sesiones de túnel AH y ESP en unidades de procesamiento de servicios
(SPUs) y en el plano de control. Las sesiones de túnel se actualizan con el protocolo negociado después
de completarse la negociación. Para SRX5400, SRX5600 y SRX5800, las sesiones de túnel del
delimitador SPUs se actualizan con el protocolo negociado, mientras que los SPUs que no son de
delimitadores conservan las sesiones ESP y AH del túnel. Las sesiones de túnel ESP y AH se muestran en
los resultados show security flow session de show security flow cp-session los comandos del modo de
operación y.
Protocolo AH
• Síntesis del mensaje 5 (MD5): un algoritmo que produce un hash de 128 bits (también llamado
síntesis de mensajes o firma digital) a partir de un mensaje de longitud arbitraria y una clave de 16
bytes. Se utiliza el hash resultante, como una huella dactilar de la entrada, para comprobar el
contenido y la autenticidad e integridad del origen.
• Algoritmo de hash seguro (SHA): un algoritmo que genera un hash de 160 bits a partir de un mensaje
de longitud arbitraria y una clave de 20 bytes. Generalmente se considera más seguro que con MD5
debido a los hash de mayor tamaño que produce. Dado que el procesamiento computacional se
realiza en los ASIC, el costo de rendimiento es insignificante.
Para obtener más información acerca de los algoritmos hash MD5, consulte RFC 1321 y RFC 2403. Para
obtener más información acerca de los algoritmos de hash SHA, consulte RFC 2404. Para obtener más
información acerca de HMAC, consulte RFC 2104.
Protocolo ESP
El protocolo carga de seguridad encapsuladora (ESP) proporciona un medio para garantizar la privacidad
(cifrado) y la autenticación de origen e integridad del contenido (autenticación). ESP en modo de túnel
encapsula todo el paquete IP (encabezado y carga) y, a continuación, anexa un nuevo encabezado IP al
paquete que está ahora cifrado. Este nuevo encabezado de IP contiene la dirección de destino necesaria
para enrutar los datos protegidos a través de la red. (Consulte procesamiento de paquetes en modo de
túnel.)
Con ESP, puede cifrar y autenticar, únicamente cifrar o autenticar. Para el cifrado, puede elegir uno de
los siguientes algoritmos de cifrado:
• Estándar de cifrado de datos (DES): un algoritmo de bloque criptográfico con una clave de 56 bits.
142
• Triple DES (3DES): una versión más potente de DES en la que se aplica el algoritmo DES original en
tres rondas mediante una clave de 168 bits. DES proporciona ahorros significativos de rendimiento,
pero se considera inaceptable para varias transferencias de material clasificadas o sensibles.
• Estándar de cifrado avanzado (AES): un estándar de cifrado que ofrece una mayor interoperabilidad
con otros dispositivos. Junos OS admite AES con claves de 128 bits, 192 bits y 256 bits.
Aunque es posible seleccionar NULL para el cifrado, se ha demostrado que IPsec puede ser vulnerable a
ataques en tales circunstancias. Por lo tanto, sugerimos que elija un algoritmo de cifrado para obtener la
máxima seguridad.
Para establecer un AutoKey ICR túnel IPsec, son necesarias dos fases de negociación:
• En la fase 1, los participantes establecen un canal seguro en el que negociar las asociaciones de
seguridad IPSec (SA).
• En la fase 2, los participantes negocian las SA de IPSec para cifrar y autenticar los siguientes
intercambios de datos de usuario.
Para un túnel IPsec de clave manual, dado que todos los parámetros de SA se han definido
anteriormente, no es necesario negociar qué SA se deben usar. Básicamente, el túnel ya se ha
establecido. Cuando el tráfico coincide con una directiva que utiliza ese túnel de clave manual o cuando
una ruta implica el túnel, el dispositivo de Juniper Networks simplemente cifra y autentica los datos,
según su determinación, y los reenvía a la puerta de enlace de destino.
La dirección de puerta de enlace de ICR remoto puede estar en cualquier instancia de enrutamiento
virtual (VR). El VR se determina durante ICR negociación de fase 1 y fase 2. No es necesario configurar
VR en las propuestas de ICR. Si la interfaz de puerta de enlace de ICR se mueve de un VR a otro, las
negociaciones ICR existentes de las fases 1 y 2 de la puerta de enlace de ICR se borrarán, y se llevarán a
cabo nuevas negociaciones de fase 1 y fase 2.
• En los dispositivos serie SRX, cuando se habilita VPN, se admite la superposición de direcciones IP
entre enrutadores virtuales con las siguientes limitaciones:
• Una dirección de interfaz externa ICR no puede superponerse con ningún otro enrutador virtual.
• Una dirección de interfaz st0 no puede superponerse en una VPN basada en ruta en túnel de
punto a multipunto, como NHTB.
143
• Una dirección de interfaz st0 puede superponerse en una VPN basada en rutas en el túnel punto
a punto.
• Cuando la interfaz de bucle invertido se utiliza como interfaz externa de ICR puerta de enlace, la
interfaz física de la negociación de ICR debe encontrarse en el mismo VR.
SEE ALSO
IPSec (seguridad)
Grupo DH (ICR de seguridad)
Ejemplo Configuración de una VPN basada en políticas
Ejemplo Configuración de una VPN basada en rutas
Propuesta
A continuación, se muestran algunas de las topologías VPN de IPsec compatibles con Junos sistema
operativo:
• VPN de sitio a sitio: conecta dos sitios en una organización juntos y permite comunicaciones seguras
entre los sitios.
• VPN hub-and-spoke: conecta las sucursales a la oficina corporativa en una red empresarial. También
puede utilizar esta topología para conectar los radios de forma conjunta mediante el envío de tráfico
a través del concentrador.
• VPN de acceso remoto: permite que los usuarios que trabajan en casa o que viajan se conecten a la
oficina corporativa y sus recursos. A veces, esta topología se conoce como un túnel de extremo a
sitio.
SEE ALSO
Es importante comprender las diferencias existentes entre las VPN basadas en la Directiva y las rutas, y
la razón por la que una puede ser preferible a la otra.
Tabla 5 en la página 144enumera las diferencias existentes entre las VPN basadas en rutas y las VPN
basadas en directivas.
Con las VPN basadas en la ruta, una Con túneles VPN basados en políticas, un túnel se
directiva no hace referencia específicamente trata como un objeto que, junto con el origen, destino,
a un túnel VPN. aplicación y acción, constituye una directiva de túnel
que permite el tráfico VPN.
La Directiva hace referencia a una dirección En una configuración VPN basada en directivas, una
de destino. directiva de túnel hace referencia específicamente a un
túnel VPN por nombre.
El número de túneles de VPN basados en El número de túneles VPN basados en la Directiva que
rutas que crea está limitado por el número puede crear está limitado por el número de directivas
de entradas de ruta o el número de que admite el dispositivo.
interfaces st0 compatibles con el
dispositivo, el número menor.
La configuración del túnel VPN basado en la Con una VPN basada en directivas, aunque puede
ruta es una buena elección cuando se desea crear numerosas directivas de túnel que hagan
conservar los recursos de túnel mientras se referencia al mismo túnel de VPN, cada par de
establecen restricciones granulares en el directivas de túnel crea una asociación de seguridad
tráfico VPN. IPsec (SA) individual con el interlocutor remoto. Cada
SA cuenta como un túnel VPN individual.
145
Tabla 5: Diferencias entre VPN basadas en rutas y VPN basadas en políticas (Continued)
Con un enfoque de VPN basado en la ruta, En una configuración VPN basada en políticas, la
el Reglamento de tráfico no se asocia con acción debe ser permitir y debe incluir un túnel.
los medios de su entrega. Puede configurar
docenas de directivas para regular el tráfico
que fluye a través de un túnel único de VPN
entre dos sitios y que sólo hay una
asociación de IPsec en el trabajo. Además,
una configuración VPN basada en rutas le
permite crear políticas que hacen referencia
a un destino alcanzado a través de un túnel
VPN en el que la acción es deny (denegar).
Las configuraciones basadas en la ruta se Las VPN basadas en políticas no se pueden utilizar
utilizan para topologías de concentrador y para topologías de concentrador y periferia.
periferia.
Con las VPN basadas en la ruta, una Cuando un túnel no conecta redes de gran tamaño que
directiva no hace referencia específicamente ejecutan protocolos de enrutamiento dinámico y no
a un túnel VPN. necesita conservar túneles ni definir varias políticas
para filtrar el tráfico a través del túnel, la mejor opción
es un túnel basado en la Directiva.
Las VPN basadas en la ruta no son Los túneles VPN basados en políticas son necesarios
compatibles con las configuraciones VPN de para las configuraciones VPN de acceso remoto (dial-
acceso remoto (acceso telefónico). up).
146
Tabla 5: Diferencias entre VPN basadas en rutas y VPN basadas en políticas (Continued)
Es posible que las redes VPN basadas en la Es posible que se necesiten VPN basadas en políticas
ruta no funcionen correctamente con otros si el tercero requiere una SAs independiente para cada
proveedores. subred remota.
Cuando el dispositivo de seguridad realiza Con un túnel VPN basado en directivas, puede
una búsqueda de ruta para encontrar la considerar un túnel como un elemento en la
interfaz a través de la cual debe enviar construcción de una política.
tráfico para llegar a una dirección, encuentra
una ruta a travésst0de una interfaz de túnel
seguro (), que está enlazada a un túnel VPN
específico.
Las VPN basadas en la ruta TDR son Las VPN basadas en políticas no se pueden utilizar si
compatibles con las interfaces st0. se requiere TDR para el tráfico de túnel.
El ID de proxy se admite para VPN basadas en rutas y basadas en directivas. Los túneles basados en ruta
también ofrecen el uso de varios selectores de tráfico también conocidos como ID de multi proxy. Un
selector de tráfico es un acuerdo entre los pares de ICR para permitir tráfico a través de un túnel, si el
tráfico coincide con un par especificado de prefijo de dirección IP local y remota, rango de puerto de
origen, intervalo de puerto de destino y protocolo. Un selector de tráfico se define dentro de una VPN
basada en ruta específica, lo que puede dar como resultado varias SA de IPsec de fase 2. Solo se permite
el tráfico que se ajusta a un selector de tráfico a través de una SA. Normalmente, el selector de tráfico es
necesario cuando los dispositivos de puerta de enlace remota son dispositivos no Juniper Networks.
Las VPN basadas en políticas solo se admiten en dispositivos SRX5400, SRX5600 y SRX5800. La
compatibilidad de la plataforma depende de la versión Junos OS de la instalación.
SEE ALSO
Tabla 6 en la página 147resume las diferencias entre las VPN basadas en Directiva y las VPN basadas en
la ruta.
En las VPN basadas en políticas, un túnel se En las VPN basadas en la ruta, una directiva no hace
trata como un objeto que, junto con el referencia específicamente a un túnel VPN.
origen, el destino, la aplicación y la acción,
constituye una directiva de túnel que
permite el tráfico VPN.
Una directiva de túnel hace referencia Una ruta determina qué tráfico se envía a través del
específicamente a un túnel VPN por nombre. túnel basándose en una dirección IP de destino.
El número de túneles VPN basados en El número de túneles VPN basados en rutas que crea
políticas está limitado por el número de está limitado por el número de interfaces st0 (para
túneles admitidos por el dispositivo. VPN de punto a punto) o el número de túneles
admitidos por el dispositivo, el que sea menor.
Con una VPN basada en directivas, aunque Dado que la ruta, no la Directiva, determina qué
puede crear numerosas directivas de túnel tráfico pasa por el túnel, es posible que se admitan
que hagan referencia al mismo túnel de VPN, varias directivas con una sola SA o VPN.
cada par de directivas de túnel creará una
asociación de IPsec individual con el
interlocutor remoto. Cada SA cuenta como
un túnel VPN individual.
En una VPN basada en políticas, la acción En una red privada virtual (VPN) basada en rutas, la
debe ser permitir y debe incluir un túnel. regulación del tráfico no se asocia con los medios de
su entrega.
148
Tabla 6: Comparación entre VPN basadas en políticas y VPN basadas en la ruta (Continued)
Si necesita más granularidad de la que puede Las redes VPN basadas en la ruta utilizan rutas para
proporcionar una ruta para especificar el especificar el tráfico que se envía a un túnel; una
tráfico que se envía a un túnel, la mejor directiva no hace referencia específicamente a un
opción es usar una VPN basada en Directiva túnel VPN.
con políticas de seguridad.
Con un túnel VPN basado en directivas, Cuando el dispositivo de seguridad realiza una
puede considerar un túnel como un búsqueda de ruta para encontrar la interfaz a través
elemento en la construcción de una política. de la cual debe enviar tráfico para llegar a una
dirección, encuentra una ruta a través de una interfaz
de túnel seguro (st0).
in this section
IPsec funciona en uno de dos modos: transporte o túnel. Cuando ambos extremos del túnel son hosts,
puede utilizar cualquiera de los modos. Cuando al menos uno de los puntos de conexión de un túnel es
una puerta de enlace de seguridad, como una Junos OS enrutador o firewall, debe utilizar el modo de
túnel. Los dispositivos Juniper Networks funcionan siempre en modo de túnel para túneles IPsec.
En el modo de túnel, todo el paquete IP original (carga y encabezado) se encapsula dentro de otra carga
IP y se le anexa un nuevo encabezado, como se muestra Figura 19 en la página 149 en. El paquete
original completo puede cifrarse, autenticarse o ambas cosas. Con el protocolo AH (Authentication
header), también se autentican los encabezados AH y los nuevos. Con el protocolo carga de seguridad
de encapsulación (ESP), también se puede autenticar el encabezado ESP.
En una VPN de sitio a sitio, las direcciones de origen y destino utilizadas en el nuevo encabezado son las
direcciones IP de la interfaz de salida. Consulte Figura 20 en la página 150la.
En una VPN de acceso telefónico, no hay puerta de enlace de túnel en el cliente de acceso telefónico a
redes VPN extremo del túnel; el túnel se extiende directamente al propio cliente (consulte Figura 21 en
la página 151). En este caso, en los paquetes enviados desde el cliente de acceso telefónico a redes,
tanto el encabezado nuevo como el original encapsulado tienen la misma dirección IP: la de la
computadora del cliente.
Algunos clientes VPN, como el cliente VPN dinámico y NetScreen-Remote, utilizan una dirección IP
interna virtual (también llamada "dirección adhesiva"). NetScreen-Remote le permite definir la dirección
IP virtual. El cliente VPN dinámico utiliza la dirección IP virtual asignada durante el intercambio de
configuración XAuth. En estos casos, la dirección IP interna virtual es la dirección IP de origen en el
151
encabezado del paquete original del tráfico que se origina en el cliente, y la dirección IP que el ISP asigna
dinámicamente es la dirección IP de origen del encabezado exterior.
SEE ALSO
En los dispositivos SRX5400, SRX5600 y SRX5800, ICR proporciona administración de túnel para IPsec
y autentica a las entidades finales. ICR realiza un intercambio de claves Diffie-Hellman (DH) para generar
152
un túnel IPsec entre los dispositivos de red. Los túneles IPsec generados por ICR se utilizan para cifrar,
descifrar y autenticar el tráfico de usuario entre los dispositivos de red en la capa IP.
La VPN se crea mediante la distribución de la ICR y de la carga de trabajo de IPsec entre las distintas
unidades de procesamiento de servicios (SPUs) de la plataforma. En el caso de los túneles de localización
a localización, la SPU de carga mínima se elige como la SPU de delimitación. Si varios SPUs tienen la
misma carga mínima, cualquiera de ellos puede elegirse como un anclaje de la SPU. En este caso, la carga
corresponde al número de puertas de enlace de sitio a sitio o de túneles VPN manuales anclados en una
SPU. En el caso de túneles dinámicos, los túneles dinámicos recién establecidos emplean un algoritmo
de operación por rondas para seleccionar la SPU.
En IPsec, la carga de trabajo se distribuye con el mismo algoritmo que distribuye el ICR. La SA de Phase
2 para un par de puntos de terminación de túnel de VPN determinado es propiedad exclusiva de una
SPU concreta, y todos los paquetes IPsec que pertenecen a esta SA de fase 2 se reenvían a la SPU de
delimitación de esa SA para el procesamiento de IPsec.
Varias sesiones IPsec (SA de fase 2) pueden funcionar a través de una o más sesiones ICR. La SPU que se
selecciona para delimitar la sesión IPsec se basa en la SPU que delimita la sesión de ICR subyacente. Por
lo tanto, todas las sesiones IPsec que se ejecutan en una sola puerta de enlace de ICR son prestadas por
el mismo SPU, y no tienen un equilibrio de carga en varios SPUs.
Tabla 7 en la página 152 muestra un ejemplo de un dispositivo de línea SRX5000 con tres Spus que
ejecutan siete túneles IPSEC a través de tres puertas de enlace ICR.
IPsec-2
IPsec-3
IPsec-5
IPsec-6
153
Las tres SPUs tienen una carga igual de una puerta de enlace ICR cada uno. Si se crea una nueva puerta
de enlace de ICR, puede seleccionar SPU0, SPU1 o SPU2 para delimitar la puerta de enlace de ICR y sus
sesiones IPsec.
Utilice el siguiente show comando para ver el recuento de túneles actual por la SPU: show security ike
tunnel-map.
Utilice la summary opción del comando para ver los puntos de anclaje de cada puerta de enlace: show
security ike tunnel-map summary.
Los dispositivos SRX5400, SRX5600 y SRX5800 tienen una arquitectura de procesador distribuido
basada en chasis. La potencia de procesamiento de flujo se comparte y se basa en el número de tarjetas
de procesamiento de servicios (SPCs). Puede escalar la potencia de procesamiento del dispositivo
instalando nuevas SPCs.
En un clúster de SRX5400, SRX5600 o SRX5800 chasis, puede insertar nuevos SPCs en los dispositivos
sin afectar ni interrumpir el tráfico en los ICR existentes o túneles VPN de IPsec. Cuando se inserta un
nuevo SPC en cada chasis del cluster, los túneles existentes no se ven afectados y el tráfico sigue
fluyendo sin interrupciones.
A partir de Junos OS versión 19.4 R1, en todos los dispositivos de la serie SRX5000 clúster de chasis,
puede insertar una nueva tarjeta SRX5K-SPC3 (SPC3) o SRX5K-SPC-4-15-320 (SPC2) en un chasis
existente que contenga una tarjeta SPC3. Sólo puede insertar las tarjetas en un área superior a la de la
tarjeta de SPC3 existente en el chasis. Debe reiniciar el nodo después de la inserción de SPC3 para
activar la tarjeta. Una vez completado el reinicio del nodo, se distribuyen los túneles IPsec a las tarjetas.
Sin embargo, los túneles existentes no pueden usar la potencia de procesamiento de las unidades de
procesamiento del servicio (SPUs) en el nuevo SPCs. Una nueva SPU puede delimitar los túneles
154
dinámicos y de sitio a sitio recién establecidos. Sin embargo, no se garantiza que los túneles recién
configurados se delimiten en una nueva SPU.
Los túneles de sitio a sitio se delimitan en diferentes SPUs según un algoritmo de equilibrio de carga. El
algoritmo de equilibrio de carga depende de los subprocesos de flujo de número que utiliza la SPU. Los
túneles que pertenecen a las mismas direcciones IP de puerta de enlace local y remota se fijan en la
misma SPU con diferentes subprocesos de flujo RT utilizados por la SPU. La SPU con la carga más
pequeña se elige como la SPU de delimitación. Cada SPU mantiene una cantidad de subprocesos de
flujo RT que se alojan en esa particular SPU. El número de roscas de caudal RT alojados en cada la SPU
varía según el tipo de SPU.
Factor de carga de túnel = número de túneles fijados en la SPU/cantidad total de subprocesos de flujo
RT utilizados por la SPU.
Los túneles dinámicos se delimitan en diferentes SPUs basándose en un algoritmo de operación por
turnos. No se garantiza que los túneles dinámicos recién configurados se delimiten en el nuevo SPC.
A partir de Junos OS versión 18.2 R2 y 18.4 R1, sólo se admitirán todas las funciones existentes de
IPsec VPN que actualmente se admiten en SRX5K-SPC3 (SPC3) en dispositivos SRX5400, SRX5600 y
SRX5800 cuando SRX5K-SPC-4-15-320 (SPC2) y tarjetas SPC3 estén instaladas y funcionan en el
dispositivo en modo de clúster de chasis o en modo independiente.
Cuando se instalan las tarjetas SPC2 y SPC3, puede comprobar la asignación de túnel en diferentes
SPUs mediante show security ipsec tunnel-distribution el comando.
Use el comando show security ike tunnel-map para ver la asignación de túnel en diferentes Spus de
sesión con solo spc2 tarjeta insertada. El comando show security ike tunnel-map no es válido en un
entorno en el que las tarjetas spc2 y SPC3 están instaladas.
• En un clúster de chasis, si uno de los nodos tiene una tarjeta SPC3 y el otro nodo tiene 2 tarjetas
SPC3, no se admite la conmutación por error al nodo que tiene 1 tarjeta SPC3.
• Debe insertar el SPC3 o el SPC2 en un chasis existente en una ranura más alta que en la actual SPC3
presente en una ranura inferior.
• Para que SPC3 ISHU funcione, debe insertar la nueva tarjeta de SPC3 en el número de la ranura
superior.
• En SRX5800 clúster de chasis, no debe insertar la tarjeta de SPC3 en la ranura más alta (Nº de ranura
11) debido al límite de alimentación y distribución de calor.
SEE ALSO
La línea de dispositivos SRX5000 con tarjeta SRX5K-SPC3 requiere el paquete para instalar y habilitar
cualquiera de las características de junos-ike VPN IPsec. De forma predeterminada, el paquete se instala
en las versiones junos-ike de Junos OS 20.1R2, 20.2R2, 20.3R2, 20.4R1 y posteriores para la línea de
dispositivos SRX5000 con RE3. Como resultado, el proceso se ejecuta en el motor de enrutamiento de
forma predeterminada en lugar de un demonio de administración de claves ikedikemd IPsec (kmd).
Si desea usar el proceso KMD para habilitar la función VPN IPsec en lugar de la configuración
predeterminada ICR, ejecute request system software delete junos-ike el comando.
{primary:node0}
SEE ALSO
in this section
En este tema, se proporciona un resumen de las características y configuraciones de VPN IPsec que no
son compatibles con la línea de dispositivos SRX5000 con SPC3 y en vSRX instancia.
La característica VPN IPsec es compatible con dos procesos y en ikedikemd SRX5K-SPC3 y vSRX
instancia. Una sola instancia iked de y se ejecutará en el motor de enrutamiento a la ikemd vez.
De forma predeterminada, el paquete se instala en las versiones Junos-ike de Junos OS 20.1R2, 20.2R2,
20.3R2, 20.4R1 y posteriores para la línea de dispositivos SRX5000 con RE3, y tanto el proceso como el
se ejecuta en el motor de ikedikemd enrutamiento.
Para reiniciar ikemd el proceso en el motor de rutina, utilice el restart ike-config-management comando.
Para reiniciar iked el proceso en motor de enrutamiento use el restart ike-key-management comando.
Si desea usar el proceso KMD para habilitar la función VPN IPsec en lugar de la configuración
predeterminada ICR, ejecute request system software delete junos-ike el comando.
Para determinar si una característica es compatible con una plataforma específica o Junos OS versión,
consulte el Explorador de características.
Tabla 8: Compatibilidad de características VPN IPsec en dispositivos serie SRX y vSRX activas
Tabla 8: Compatibilidad de características VPN IPsec en dispositivos serie SRX y vSRX activas
(Continued)
Detección de pares inactivos (DPD) y failover de puerta de La conmutación por error de puerta
enlace DPD. de enlace DPD no se admite en
vSRX.
VPN de grupo. No
Tabla 8: Compatibilidad de características VPN IPsec en dispositivos serie SRX y vSRX activas
(Continued)
Sistema lógico. No
VPN manual. No
Tráfico de multidifusión. No
Acceso remoto. No
Tabla 8: Compatibilidad de características VPN IPsec en dispositivos serie SRX y vSRX activas
(Continued)
Supervisión de VPN. No
XAuth No
Si crea dos túneles VPN que terminan en un dispositivo, puede configurar un par de rutas para que el
dispositivo dirija el tráfico que sale de un túnel al otro túnel. También debe crear una directiva para
permitir que el tráfico pase de un túnel al otro. Dicha disposición se conoce como VPN radial. (Consulte
Figura 22 en la página 160.)
También puede configurar varias VPN y enrutar el tráfico entre dos túneles cualesquiera.
160
Los dispositivos serie SRX solo admiten la característica radial basada en rutas.
SEE ALSO
release-history
20.1R2 De forma predeterminada, el paquete se instala en las versiones junos-ike de Junos OS 20.1R2,
20.2R2, 20.3R2, 20.4R1 y posteriores para la línea de dispositivos SRX5000 con RE3. Como
resultado, el proceso se ejecuta en el motor de enrutamiento de forma predeterminada en lugar
de un demonio de administración de claves ikedikemd IPsec (kmd).
19.1R1 A partir de Junos OS versión 19.1R1, los dispositivos serie SRX son compatibles con los grupos
DH 15, 16 y 21.
VÍNCULOS RELACIONADOS
Descripción general de la
configuración de VPN
in this section
Opciones de configuración recomendadas para VPN de sitio a sitio con direcciones IP estáticas | 166
Opciones de configuración recomendadas para VPN de sitio a sitio o de acceso telefónico con direcciones IP
dinámicas | 167
Ejemplo Configuración de la autenticación IPsec para una interfaz de OSPF en un dispositivo serie
SRX | 177
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico
remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos
tales como enrutadores, conmutadores y otros equipos de red que forman la WAN pública. Para
proteger la comunicación VPN se crea un túnel IPsec entre dos dispositivos participantes.
La negociación VPN de IPsec se produce en dos fases. En la fase 1, los participantes establecen un canal
seguro en el que negociar la Asociación de seguridad IPsec (SA). En la fase 2, los participantes negocian
la SA IPsec para autenticar el tráfico que fluirá a través del túnel.
En esta introducción se describen los pasos básicos para configurar una VPN basada en rutas o IPsec
que utilice Autokey ICR (claves previamente compartidas o certificados).
Para configurar una VPN basada en rutas o IPsec con Autokey ICR:
164
a) Adicional Configure una propuesta de ICR de la fase 1 personalizada. Este paso es opcional, ya
que puede usar un conjunto de propuestas ICR fase 1 predefinida (estándar, compatible o básico).
b) Configure una directiva de ICR que haga referencia a la propuesta de propuesta de fase 1
personalizada de ICR o a un conjunto predefinido de propuestas de fase 1 de ICR. Especifique
Autokey ICR clave previamente compartida o información de certificado. Especifique el modo
(principal o agresivo) para los intercambios de la fase 1.
c) Configure una puerta de enlace de ICR que haga referencia a la Directiva ICR. Especifique los ID
ICR para los dispositivos locales y remotos. Si no se conoce la dirección IP de la puerta de enlace
remota, especifique cómo se va a identificar la puerta de enlace remota.
3. Configure la fase 2 del túnel VPN de IPsec.
a) Adicional Configure una propuesta de la fase 2 de IPsec personalizada. Este paso es opcional, ya
que puede usar un conjunto predefinido de propuesta de fase 2 de IPsec (estándar, compatible o
básico).
b) Configure una directiva IPsec que haga referencia a la propuesta de IPsec Phase 2 personalizada o
a un conjunto predefinido de propuestas de fase 2 de IPsec. Especificar las claves de
confidencialidad directa perfecta (PFS).
c) Configure un túnel VPN de IPsec que haga referencia tanto a la puerta de enlace de ICR como a la
directiva IPsec. Especifique los identificadores de proxy que se usarán en las negociaciones de
fase 2.
(Para VPN basadas en la ruta) Enlace la interfaz de túnel seguro st0. x al túnel VPN de IPsec.
4. Configure una directiva de seguridad para permitir el tráfico desde la zona de origen a la zona de
destino.
(Para VPN basadas en políticas) Especifique la acción tunnel ipsec-vpn de la Directiva de seguridad
con el nombre del túnel VPN de IPsec que configuró.
5. Actualice su configuración de VPN global.
SEE ALSO
En esta introducción se describen los pasos básicos para configurar una VPN de IPsec basada en rutas o
de Directiva mediante claves manuales.
Para configurar una VPN de IPsec basada en rutas o en la Directiva mediante claves manuales:
• Interfaz de salida
(Para VPN basadas en la ruta) Enlace la interfaz de túnel seguro st0. x al túnel VPN de IPsec.
3. Configure la Directiva de seguridad para permitir el tráfico desde la zona de origen a la zona de
destino.
(Para VPN basadas en políticas) Especifique la acción tunnel ipsec-vpn de la Directiva de seguridad
con el nombre del túnel VPN de IPsec que configuró.
SEE ALSO
Tabla 9 en la página 166enumera las opciones de configuración de una VPN de sitio a sitio genérica
entre dos dispositivos de seguridad con direcciones IP estáticas. La VPN puede estar basada en rutas o
en una directiva.
Tabla 9: Configuración recomendada para VPN de sitio a sitio con direcciones IP estáticas
Certificados RSA o DSA Los certificados RSA o DSA se pueden usar en el dispositivo local.
Especifique el tipo de certificado (PKCS7 o X. 509) en el
interlocutor.
Grupo Diffie-Hellman (DH) 14 El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2
o 5.
Cifrado de estándar de cifrado AES es criptográficamente más seguro que el estándar de cifrado
avanzado (AES) de datos (DES) y triple DES (3DES) cuando las longitudes de clave
son iguales. Algoritmo de cifrado aprobado para estándares de
estándares federales de procesamiento de la información (FIPS) y
Common Criteria EAL4.
Tabla 9: Configuración recomendada para VPN de sitio a sitio con direcciones IP estáticas (Continued)
Encriptación AES AES es criptográficamente más seguro que DES y 3DES cuando las
longitudes de clave son iguales. Algoritmo de cifrado aprobado para
los estándares FIPS y Common Criteria EAL4.
Autenticación SHA-256 SHA-256 proporciona más seguridad de cifrado que SHA-1 o MD5.
SEE ALSO
Tabla 10 en la página 168enumera las opciones de configuración de una VPN de sitio a sitio genérica o
de acceso telefónico, donde los dispositivos del mismo nivel tienen direcciones IP dinámicas.
168
Tabla 10: Configuración recomendada para VPN de sitio a sitio o de acceso telefónico con direcciones
IP dinámicas
certificados de 2048 bits Se pueden usar certificados RSA o DSA. Especifique el certificado
que se utilizará en el dispositivo local. Especifique el tipo de
certificado (PKCS7 o X. 509) en el interlocutor.
Grupo Diffie-Hellman (DH) 14 El grupo DH 14 proporciona más seguridad que los grupos DH 1, 2
o 5.
Cifrado de estándar de cifrado AES es criptográficamente más seguro que el estándar de cifrado
avanzado (AES) de datos (DES) y triple DES (3DES) cuando las longitudes de clave
son iguales. Algoritmo de cifrado aprobado para estándares de
estándares federales de procesamiento de la información (FIPS) y
Common Criteria EAL4.
Tabla 10: Configuración recomendada para VPN de sitio a sitio o de acceso telefónico con direcciones
IP dinámicas (Continued)
Encriptación AES AES es criptográficamente más seguro que DES y 3DES cuando las
longitudes de clave son iguales. Algoritmo de cifrado aprobado para
los estándares FIPS y Common Criteria EAL4.
Autenticación SHA-256 SHA-256 proporciona más seguridad de cifrado que SHA-1 o MD5.
SEE ALSO
in this section
TDR | 171
Descripción general
Un IPsec del mismo nivel de VPN puede tener una dirección IP que el interlocutor con el que está
estableciendo la conexión VPN no conoce. Por ejemplo, un interlocutor puede tener una dirección IP
asignada dinámicamente mediante el protocolo de configuración dinámica de host (DHCP). Éste podría
ser el caso con un cliente de acceso remoto en una sucursal o una oficina de casa o un dispositivo móvil
que se mueve entre ubicaciones físicas diferentes. O bien, el par se puede encontrar detrás de un
dispositivo TDR que traduce la dirección IP de origen original del par a una dirección diferente. Una VPN
peer con una dirección IP desconocida se conoce como extremo dinámico y una VPN establecida con un
extremo dinámico se conoce como una VPN de extremo dinámico.
En serie SRX dispositivos, IKEv1 o IKEv2 se admite con VPN de extremo dinámico. Las VPN de extremo
dinámico en serie SRX dispositivos admiten el tráfico IPv4 en túneles seguros. A partir de Junos OS
Release 15.1-D80, las VPN de extremo dinámico en los dispositivos serie SRX admiten tráfico IPv6 en
túneles seguros.
En las siguientes secciones se describen los elementos que se deben tener en cuenta al configurar una
VPN con un extremo dinámico.
ICR identidad
En el extremo dinámico, debe configurarse una ICR identidad para que el dispositivo se identifique a sí
mismo en el mismo nivel. Se verifica la identidad local del extremo dinámico en el interlocutor. De forma
predeterminada, serie SRX dispositivo espera que la identidad del ICR sea una de las siguientes:
• Cuando se utilizan certificados, se puede usar un nombre completo (DN) para identificar a los
usuarios o a una organización.
• Un nombre de host o FQDN (Fully Qualified Domain Name) que identifica el extremo.
• Un nombre de dominio completo del usuario (UFQDN), también conocido como usuario en host. Se
trata de una cadena que sigue el formato de dirección de correo electrónico.
Cuando IKEv1 se utiliza con VPN de extremo dinámico, la Directiva de ICR debe configurarse para el
modo intenso. IKEv2 no usa el modo agresivo, por lo que puede configurar el modo principal o agresivo
al usar IKEv2 con VPN de extremo dinámico.
171
A partir de Junos OS versión 12.3 X48-D40, Junos OS Release 15.1 X49-D70 y Junos OS Release R1,
todas las puertas de enlace dinámicas configuradas en serie SRX los dispositivos que utilizan la misma
interfaz externa pueden utilizar distintas directivas ICR, pero las políticas ICR deben usar la misma
propuesta de ICR. Esto se aplica a IKEv1 e IKEv2.
TDR
Si el extremo dinámico está detrás de un dispositivo TDR, TDR-T debe configurarse en el dispositivo
serie SRX. TDR Keepalives podrían ser necesarias para mantener el TDR la traducción durante la
conexión entre los interlocutores VPN. De forma predeterminada, TDR-T está habilitado en los
dispositivos serie SRX y TDR keepalive se envían a intervalos de 20 segundos.
Puede configurar un túnel VPN individual para cada extremo dinámico. Para VPN de extremo dinámico
de IPv4, puede usar las características de ID ICR de grupo o de ID. compartidos de ICR para permitir que
una serie de extremos dinámicos compartan una configuración ICR puerta de enlace.
El ID ICR grupo le permite definir una parte común de un ID de ICR completo para todos los puntos de
conexión dinámicos, como "example.net". Una parte específica del usuario, como el nombre de usuario
"Bob", concatenada con la parte común, forma un ID de ICR completo (Bob.example.net) que identifica
de forma exclusiva a cada conexión de usuario.
El identificador de ICR compartidos permite a los extremos dinámicos compartir un único ID ICR y una
clave previamente compartida.
SEE ALSO
in this section
La identificación de ICR (ID ICR) se utiliza para la validación de dispositivos VPN del mismo nivel durante
la negociación ICR. El ICR ID recibido por el dispositivo serie SRX desde un elemento del mismo nivel
remoto puede ser una dirección IPv4 o IPv6, un nombre de host, un FQDN, un FQDN de usuario
(UFQDN) o un nombre completo (DN). El identificador de ICR enviado por el interlocutor remoto debe
coincidir con lo que espera el dispositivo serie SRX. De lo contrario, se produce un error en la validación
del identificador ICR y no se establece la VPN.
ICR tipos de ID
Los dispositivos serie SRX admiten los siguientes tipos de identidades de ICR para los interlocutores
remotos:
• Una dirección IPv4 o IPv6 se utiliza comúnmente con VPN de sitio a sitio, donde el interlocutor
remoto tiene una dirección IP estática.
• Un nombre de host es una cadena que identifica el sistema del mismo nivel remoto. Puede ser un
FQDN que se resuelva en una dirección IP. También puede ser un FQDN parcial que se utiliza junto
con un tipo de usuario ICR para identificar a un usuario remoto específico.
Cuando se configura un nombre de host en lugar de una dirección IP, la configuración confirmada y el
siguiente establecimiento del túnel se basan en la dirección IP resuelta actualmente. Si cambia la
dirección IP del par remoto, la configuración ya no es válida.
• Una UFQDN es una cadena que sigue el mismo formato que una dirección de correo electrónico,
user@example.comcomo.
• Un DN es un nombre que se utiliza con certificados digitales para identificar de forma exclusiva a un
usuario. Por ejemplo, una DN puede ser "CN=user, DC=example, DC=com." Opcionalmente, puede
usar la palabra clave para especificar que el orden de los campos de una DN y sus valores coincidan
exactamente con la DN configurada, o usar la palabra clave para especificar que los valores de los
campos de una DN deben coincidir, pero el orden de los campos containerwildcard no importa.
A partir de Junos OS versión 19.4 R1, ahora puede configurar únicamente un atributo DN dinámico
entre container-string y wildcard-string en [edit security ike gateway gateway_name dynamic
distinguished-name] la jerarquía. Si intenta configurar el segundo atributo después de configurar el
primer atributo, el primero se sustituye por el segundo atributo. Antes de actualizar el dispositivo,
debe eliminar uno de los atributos si ha configurado ambos atributos.
173
• Se puede usar un ICR tipo de usuario con AutoVPN y VPN de acceso remoto cuando hay varios
interlocutores remotos que se conectan a la misma puerta de enlace VPN en el dispositivo serie SRX.
Configure ike-user-type group-ike-id para especificar un id de ICR ike-user-type shared-ike-id de
grupo o para especificar un ID de ICR compartido.
Para VPN de sitio a sitio, el ID de ICR del par remoto puede ser la dirección IP de la tarjeta de interfaz de
red de salida, una dirección de circuito cerrado, un nombre de host o un ID de ICR configurado
manualmente, dependiendo de la configuración del dispositivo par.
De forma predeterminada, los dispositivos serie SRX esperan que el ID de ICR remoto sea la dirección IP
configurada con la set security ike gateway gateway-name address configuración. Si el ID de ICR
remoto es un valor diferente, debe configurar la instrucción remote-identity en el nivel de jerarquía
[ edit security ike gateway gateway-name ].
Por ejemplo, una puerta de enlace de ICR en los dispositivos serie SRX se set security ike gateway
remote-gateway address 203.0.113.1 configura con el comando. Sin embargo, el identificador de ICR
enviado por el interlocutor host.example.netremoto es. Hay una discordancia entre lo que espera el
dispositivo de la serie SRX para el ID de ICR del par remoto (203.0.113.1) y el ID de ICR real ( ) enviado
por el host.example.net par. En este caso, se produce un error en la validación del identificador ICR. Use
el set security ike gateway remote-gateway remote-identity hostname host.example.net para hacer
coincidir el identificador de ICR recibido del interlocutor remoto.
Para VPN de punto de conexión dinámico, el ID de ICR de conexión esperado del par remoto se
configura con las opciones en el edit security ike gateway gateway-name dynamic nivel jerárquico [ ].
Para AutoVPN, hostname se combina ike-user-type group-ike-id con puede usarse donde hay varios
elementos del mismo nivel que tienen un nombre de dominio común. Si se utilizan certificados para
comprobar el elemento del mismo nivel, puede configurarse un DN.
De forma predeterminada, el dispositivo serie SRX utiliza la dirección IP de su interfaz externa con el
interlocutor remoto como su ID ICR. Este identificador de ICR puede reemplazarse configurando local-
identity la instrucción en eledit security ike gateway gateway-namenivel de jerarquía []. Si necesita
configurar la local-identity instrucción en un dispositivo serie SRX, asegúrese de que el identificador ICR
configurado coincide con el ID ICR que espera el interlocutor remoto.
174
SEE ALSO
De forma predeterminada, los dispositivos serie SRX validan el identificador de ICR recibido del
interlocutor con la dirección IP configurada para la puerta de enlace de ICR. En algunas configuraciones
de red, el ICR identificador recibido del sistema del mismo nivel (que puede ser una dirección IPv4 o
IPv6, un nombre de dominio completo [FQDN], un nombre completo o una dirección de correo
electrónico) no coincide con la puerta de enlace de ICR configurada en el dispositivo serie SRX. Esto
puede conducir a un fallo en la validación de la fase 1.
Para modificar la configuración del dispositivo de serie SRX o del dispositivo del mismo nivel para el ID.
de ICR que se usa:
• En el dispositivo de serie SRX, configure la remote-identity instrucción enedit security ike gateway
gateway-nameel nivel de jerarquía [] para que coincida con el ID ICR que se recibe del elemento del
mismo nivel. Los valores pueden ser direcciones IPv4 o IPv6, FQDN, nombres completos o
direcciones de correo electrónico.
• En el dispositivo del mismo nivel, asegúrese de que el ID ICR sea igual remote-identity que el que se
configuró en el dispositivo serie SRX. Si el dispositivo del mismo nivel es un dispositivo serie SRX,
local-identity configure la instrucciónedit security ike gateway gateway-nameen el nivel de jerarquía
[]. Los valores pueden ser direcciones IPv4 o IPv6, FQDN, nombres completos o direcciones de
correo electrónico.
SEE ALSO
Descripción TDR-T
Ejemplo Configuración de una VPN basada en ruta solo con el contestador detrás de un dispositivo
TDR
Ejemplo Configuración de una VPN basada en políticas con un iniciador y un respondedor detrás de
un dispositivo TDR
175
IPsec se basa en asociaciones de seguridad (SA). Una SA es un conjunto de especificaciones IPsec que se
negocian entre los dispositivos que establecen una relación IPsec. Esta conexión símplex proporciona
servicios de seguridad a los paquetes que transporta la SA. Estas especificaciones incluyen preferencias
para el tipo de autenticación, cifrado e protocolo IPsec que se utilizará al establecer la conexión IPsec.
Una SA se utiliza para cifrar y autenticar un flujo determinado en una sola dirección. Por lo tanto, en el
tráfico bidireccional normal, los flujos se protegen mediante un par de SA. Una SA que se va a usar con
OSPFv3 debe configurarse manualmente y usar el modo de transporte. Los valores estáticos deben estar
configurados en ambos extremos de la SA.
Para configurar IPsec para el OSPF o OSPFv3, defina primero una SA manual con security-association
sa-name la opción en eledit security ipsecnivel jerarquía []. Esta característica solo admite SAs de clave
manual bidireccional en el modo de transporte. Las SA manuales no requieren ninguna negociación entre
los interlocutores. Todos los valores, incluidas las claves, son estáticos y se especifican en la
configuración. Las SA manuales definen estáticamente los valores, algoritmos y claves de índice de
parámetros de seguridad (SPI) que se deben utilizar y requieren configuraciones coincidentes en ambos
puntos de conexión (OSPF o OSPFv3 del mismo nivel). Como resultado, cada interlocutor debe tener las
mismas opciones configuradas para que la comunicación tenga lugar.
La elección real del cifrado y los algoritmos de autenticación quedará a su administrador de IPsec; sin
embargo, tenemos las siguientes recomendaciones:
• Utilice ESP con cifrado nulo para proporcionar autenticación a encabezados de protocolo, pero no al
encabezado de IPv6, a los encabezados de extensión y a las opciones. Con el cifrado nulo, se elige no
proporcionar cifrado en los encabezados de protocolo. Esto puede ser útil para la solución de
176
problemas y la depuración. Para obtener más información acerca del cifrado null, consulte RFC 2410,
El algoritmo de cifrado NULL y su uso con IPsec.
• Para una interfaz OSPF o OSPFv3, incluya la ipsec-sa name instrucción en el niveledit protocols ospf
area area-id interface interface-namede jerarquía [edit protocols ospf3 area area-id interface
interface-name] o []. Solo se puede especificar un nombre de Asociación de IPsec para una interfaz
OSPF o OSPFv3; sin embargo, distintas interfaces OSPF/OSPFv3 pueden especificar la misma SA de
IPsec.
• Para un vínculo virtual OSPF o OSPFv3, incluya la ipsec-sa name instrucción en el niveledit protocols
ospf area area-id virtual-link neighbor-id router-id transit-area area-idde jerarquía [edit protocols
ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] o []. Debe configurar la
misma asociación de IPsec para todos los vínculos virtuales con la misma dirección de extremo
remoto.
Las siguientes restricciones se aplican a la autenticación IPsec para el OSPF o OSPFv3 en los
dispositivos serie SRX:
• Las configuraciones de VPN manuales configuradas enedit security ipsec vpn vpn-name manualel
nivel [] no pueden aplicarse a OSPF o a interfaces ospfv3 o vínculos virtuales para proporcionar
confidencialidad y autenticación IPSec.
• No puede configurar IPsec para la autenticación OSPF o OSPFv3 si hay una VPN IPsec configurada
en el dispositivo con las mismas direcciones local y remota.
• No se admite IPsec para la autenticación OSPF o OSPFv3 a través de interfaces de st0 de túnel
seguras.
• Solo se admite el modo de transporte IPsec. En el modo de transporte, solo se cifra, autentica o se
realiza una de ambas cargas (los datos que transfiere) del paquete IP. No se admite el modo de túnel.
• Dado que solo se admiten las SA manuales bidireccionales, todos los OSPFv3 del mismo nivel deben
estar configurados con la misma SA de IPsec. Configure una SA bidireccional manual en el niveledit
security ipsec[] de la jerarquía.
• Debe configurar la misma asociación de IPsec para todos los vínculos virtuales con la misma dirección
de extremo remoto.
177
SEE ALSO
in this section
Aplicables | 177
Automática | 178
Comproba | 183
En este ejemplo, se muestra cómo configurar y aplicar una asociación de seguridad manual (SA) a una
interfaz de OSPF.
Aplicables
Antes de empezar:
Descripción general
Puede utilizar la autenticación IPsec para OSPF y OSPFv3. Configure el SA manual por separado y
aplíquelo a la configuración de OSPF correspondiente. Tabla 11 en la página 178 enumera en este
ejemplo los parámetros y valores configurados para el SA manual.
178
Parámetro Valor
Nombre de SA sa1
Medio transmisión
Dirección bidireccional
Protocolo ENCABEZADO
SPI 256
Automática
in this section
Configuración de un manual SA
Para configurar rápidamente una SA manual que se utilizará para la autenticación IPsec en una interfaz
OSPF, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea,
179
cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los
comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese desde el modo de editcommit
configuración.
[edit]
set security ipsec security-association sa1
set security ipsec security-association sa1 mode transport
set security ipsec security-association sa1 manual direction bidirectional
set security ipsec security-association sa1 manual direction bidirectional
protocol ah
set security ipsec security-association sa1 manual direction bidirectional spi
256
set security ipsec security-association sa1 manual direction bidirectional
authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
set security ipsec security-association sa1 manual direction bidirectional
encryption algorithm des key ascii-text cba210987654321
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# edit security ipsec security-association sa1
Resultados
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text
"$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text
"$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Para aplicar rápidamente una SA manual utilizada para la autenticación IPsec a una interfaz OSPF, copie
el siguiente comando, péguelo en un archivo de texto, cambie los detalles necesarios para que coincidan
con su configuración de red, copie y pegue el comando en el CLI en el nivel de jerarquía [ ] y, luego,
ingrese desde el modo de editcommit configuración.
[edit]
set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
182
Para especificar OSPFv3, incluya la ospf3 instrucción en el [edit protocols] nivel de jerarquía.
[edit]
user@host# edit protocols ospf area 0.0.0.0
2. Especifique la interfaz.
Resultados
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Comproba
in this section
Purpose
Intervención
Purpose
Intervención
Desde el modo operativo, escriba el show ospf interface detail comando para OSPF y escriba el
comando para show ospf3 interface detail OSPFv3.
184
SEE ALSO
El asistente VPN le permite ejecutar la configuración básica de VPN IPsec, incluidas la fase 1 y la fase 2.
Para obtener una configuración más avanzada, utilice la interfaz J-web o la CLI. Esta característica es
compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
El área superior izquierda de la página del asistente muestra dónde se encuentra en el proceso de
configuración. El área izquierda inferior de la página muestra ayuda sensible al campo. Al hacer clic en un
vínculo en el encabezado recursos, el documento se abre en el explorador. Si el documento se abre en
una nueva ficha, asegúrese de cerrar únicamente la ficha (no la ventana del explorador) cuando cierre el
documento.
SEE ALSO
in this section
Aplicables | 185
Automática | 199
Comproba | 231
185
En este ejemplo se muestra cómo configurar una VPN de IPsec radial para una implementación de clase
empresarial.
Aplicables
Este ejemplo utiliza el siguiente hardware:
• Dispositivo SRX240
• Dispositivo SRX5800
• Dispositivo SSG140
Descripción general
En este ejemplo se describe cómo configurar una VPN de concentrador y periferia que normalmente se
encuentra en las implementaciones de sucursales. El centro es la oficina corporativa y hay dos radios:
una sucursal en Sunnyvale, California, y una sucursal en Westford, Massachussets. Los usuarios de las
sucursales utilizarán la VPN para transferir datos de forma segura con la oficina corporativa.
186
Figura 23 en la página 187muestra un ejemplo de una topología VPN radial. En esta topología, un
dispositivo SRX5800 se encuentra en la oficina corporativa. Un dispositivo serie SRX se encuentra en la
sucursal Westford, y un dispositivo SSG140 se encuentra en la rama Sunnyvale.
187
En este ejemplo, puede configurar el concentrador de la oficina corporativa, los radios Westford y los
radios de la Sunnyvale. En primer lugar, configure las interfaces, las rutas estáticas y predeterminadas de
IPv4, las zonas de seguridad y las libretas de direcciones. A continuación, configure ICR parámetros
Phase 1 e IPsec Phase 2, y enlace la interfaz St 0.0 al VPN de IPsec. En el concentrador, configure St 0.0
para multipoint y agregue una entrada de la tabla NHTB estática para The Sunnyvale Spokes. Por último,
configure la Directiva de seguridad y los parámetros TCP-MSS. Consulte Tabla 12 en la página 188 a
Tabla 16 en la página 199 través de los parámetros de configuración específicos que se utilizan en este
ejemplo.
ge-0/0/3.0 10.1.1.2/30
st0 10.11.11.10/24
ge-0/0/3.0 192.168.178.1/24
st0 10.11.11.12/24
• La interfaz
GE-0/0/0.0 está
enlazada a esta zona.
189
• La interfaz
GE-0/0/3.0 está
enlazada a esta zona.
• La interfaz
GE-0/0/3.0 está
enlazada a esta zona.
• La interfaz
GE-0/0/0.0 está
enlazada a esta zona.
• La dirección de esta
entrada de la libreta
de direcciones es
192.168.10.0/24.
• La dirección de esta
entrada de la libreta
de direcciones es
192.168.168.0/24.
• La dirección de esta
entrada de la libreta
de direcciones es
192.168.178.0/24.
191
• La dirección de esta
entrada de la libreta
de direcciones es
192.168.168.178.0/
24.
• La dirección de esta
entrada de la libreta
de direcciones es
192.168.10.0/24.
• La dirección de esta
entrada de la libreta
de direcciones es
192.168.168.0/24.
192
• Grupo Diffie-
Hellman: group2
• Algoritmo de
autenticación: sha1
• Algoritmo de cifrado:
aes-128-cbc
• Referencia de la
propuesta: ike-
phase1-proposal
• Método de
autenticación de
directiva de fase 1
ICR: texto ASCII con
clave compartida
previa
193
• Interfaz externa:
ge-0/0/3.0
• Dirección de puerta
de enlace: 10.3.3.2
GW-Sunnyvale • Referencia de
políticas ICR: ike-
phase1-policy
• Interfaz externa:
ge-0/0/3.0
• Dirección de puerta
de enlace: 10.2.2.2
• Grupo Diffie-
Hellman: group2
• Algoritmo de
autenticación: sha1
• Algoritmo de cifrado:
aes-128-cbc
194
• Referencia de la
propuesta: ike-
phase1-proposal
• Método de
autenticación de
directiva de fase 1
ICR: texto ASCII con
clave compartida
previa
• Interfaz externa:
ge-0/0/0.0
• Dirección de puerta
de enlace: 10.1.1.2
• PF Diffie-Hellman grupo2
• PF Diffie-Hellman grupo2
196
• aplicación cualquier
• aplicación cualquier
197
• aplicación cualquier
• aplicación cualquier
• aplicación cualquier
198
Purpose Parámetros de
configuración
TCC: MSS se negocia como parte del Protocolo de enlace de TCP por tres vías y Valor MSS: 1350
limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites
de MTU en una red. Para el tráfico VPN, la sobrecarga de encapsulación de
IPsec, junto con la sobrecarga de IP y Frame, puede hacer que el paquete ESP
resultante supere la MTU de la interfaz física, lo que produce una fragmentación.
La fragmentación da como resultado un uso más elevado de los recursos de
dispositivos y ancho de banda.
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para configurar la red básica, la zona de seguridad y la información de la libreta de direcciones para el
concentrador:
[edit]
user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
201
[edit]
user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11
user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
[edit ]
user@hub# set security zones security-zone untrust
5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit]
user@hub# edit security zones security-zone trust
8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
[edit]
user@hub# edit security zones security-zone vpn
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no
203
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
204
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
13. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
209
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@hub# set security ipsec proposal ipsec-phase2-proposal
[edit]
user@hub# set interfaces st0 unit 0 multipoint
12. Agregue entradas de la tabla NHTB estáticas para las oficinas de Sunnyvale y Westford.
[edit]
user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale
user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
212
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net
set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-
net
set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-
net
set security policies from-zone trust to-zone vpn policy local-to-spokes match application any
set security policies from-zone trust to-zone vpn policy local-to-spokes then permit
set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net
set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net
set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net
213
set security policies from-zone vpn to-zone trust policy spokes-to-local match application any
set security policies from-zone vpn to-zone trust policy spokes-to-local then permit
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any
set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
215
}
then {
permit;
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
[edit]
user@hub# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
216
mss 1350;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
217
Para configurar la red básica, la zona de seguridad y la información de la libreta de direcciones para la
Westford radios:
[edit]
user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30
user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24
user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
[edit]
user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1
user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10
user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
[edit]
user@spoke# set security zones security-zone untrust
5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit]
user@spoke# edit security zones security-zone trust
218
8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
[edit]
user@spoke# edit security zones security-zone vpn
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
220
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
221
attach {
zone vpn;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
224
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@spoke# set security ipsec proposal ipsec-phase2-proposal
225
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net
set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net
set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-
net
set security policies from-zone trust to-zone vpn policy to-corporate application any
set security policies from-zone trust to-zone vpn policy to-corporate then permit
set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net
set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net
set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net
set security policies from-zone vpn to-zone trust policy from-corporate application any
set security policies from-zone vpn to-zone trust policy from-corporate then permit
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
229
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
[edit]
user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
230
En este ejemplo se utiliza un dispositivo serie SSG para los radios Sunnyvale. Como referencia, se
proporciona la configuración del dispositivo serie SSG. Para obtener más información acerca de cómo
configurar dispositivos serie SSG, consulte la Guía de referencia de Conceptos y ejemplos de
ScreenOS,que se encuentra en la https://www.juniper.net/documentation.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
Comproba
in this section
Comprobar rutas estáticas para LAN locales del mismo nivel | 236
Revisar las estadísticas y los errores de una asociación de seguridad IPsec | 237
Purpose
Intervención
Antes de iniciar el proceso de verificación, es necesario enviar tráfico desde un host en la red
192.168.10/24 a un host de las redes 192.168.168/24 y 192.168.178/24 para que los túneles estén en
funcionamiento. En el caso de VPN basadas en rutas, puede enviar tráfico iniciado desde el dispositivo
serie SRX a través del túnel. A la hora de probar túneles IPsec, se recomienda enviar tráfico de prueba
desde un dispositivo independiente en un extremo de la VPN a un segundo dispositivo del otro extremo
de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a 192.168.168.10.
232
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
233
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Estado
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
El show security ike security-associations index 1 detail comando enumera la información adicional
acerca de la Asociación de seguridad con el número de índice 1:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El número de identificación es 16385. Utilice este valor con el show security ipsec security-
associations index comando para obtener más información acerca de esta SA en particular.
• Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido
TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 28756/unlim indica que la duración de la fase 2 caduca en 28756 segundos y
que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2
puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está
activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
La salida del show security ipsec security-associations index 16385 detail comando muestra la siguiente
información:
Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si
no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la
configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta,
el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden
producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este
caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos
proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.
• Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede
completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.
Purpose
Después de completar la fase 2 para todos los interlocutores, compruebe los enlaces de túnel del
próximo salto.
236
Intervención
Efectos
Las puertas de enlace de próximo salto son las direcciones IP de las interfaces st0 de todos los
interlocutores de radio remotos. El siguiente salto debe asociarse con el nombre correcto de VPN de
IPsec. Si no existe ninguna entrada NHTB, es posible que el dispositivo concentrador distinga qué VPN
de IPsec está asociada con el siguiente salto.
No hay ninguna tabla NHTB para ninguno de los sitios radiales de este ejemplo. Desde la perspectiva de
los radios, la interfaz st0 sigue siendo un vínculo punto a punto con un único enlace VPN de IPsec.
Purpose
Compruebe que la ruta estática hace referencia a la dirección IP st0 del par spoke.
Intervención
El próximo salto es la dirección IP st0 del par remoto y ambas rutas apuntan a st0.0 como interfaz de
salida.
Purpose
Revisar los contadores ESP y los encabezados de autenticación, así como los errores de una asociación
de seguridad IPsec.
Intervención
También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los
errores de todas las SA.
Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.
Efectos
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics
comando show security ipsec statistics detail o varias veces para confirmar que los contadores de
paquetes cifrados y descifrados se incrementan. También debe comprobar si el resto de los contadores
de errores se están incrementando.
Purpose
Intervención
Puede utilizar el ping comando del dispositivo de serie SRX para probar el flujo de tráfico en el PC de un
host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y
se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de la Directiva.
Efectos
Si el ping comando no funciona desde el dispositivo de la serie serie SRX o SSG, es posible que exista un
problema con el enrutamiento, las directivas de seguridad, el host final o el cifrado y descifrado de los
paquetes ESP.
SEE ALSO
release-history
19.4R1 A partir de Junos OS versión 19.4 R1, ahora puede configurar únicamente un atributo DN
dinámico entre container-string y wildcard-string en [edit security ike gateway gateway_name
dynamic distinguished-name] la jerarquía. Si intenta configurar el segundo atributo después de
configurar el primer atributo, el primero se sustituye por el segundo atributo. Antes de actualizar
el dispositivo, debe eliminar uno de los atributos si ha configurado ambos atributos.
15.1X49-D80 A partir de Junos OS Release 15.1-D80, las VPN de extremo dinámico en los dispositivos serie
SRX admiten tráfico IPv6 en túneles seguros.
12.3X48-D40 A partir de Junos OS versión 12.3 X48-D40, Junos OS Release 15.1 X49-D70 y Junos OS
Release R1, todas las puertas de enlace dinámicas configuradas en serie SRX los dispositivos que
utilizan la misma interfaz externa pueden utilizar distintas directivas ICR, pero las políticas ICR
deben usar la misma propuesta de ICR.
VÍNCULOS RELACIONADOS
Es importante comprender las diferencias existentes entre las VPN basadas en la Directiva y las rutas, y
la razón por la que una puede ser preferible a la otra.
Tabla 17 en la página 241enumera las diferencias existentes entre las VPN basadas en rutas y las VPN
basadas en directivas.
241
Tabla 17: Diferencias entre VPN basadas en rutas y VPN basadas en políticas
Con las VPN basadas en la ruta, una Con túneles VPN basados en políticas, un túnel se
directiva no hace referencia específicamente trata como un objeto que, junto con el origen, destino,
a un túnel VPN. aplicación y acción, constituye una directiva de túnel
que permite el tráfico VPN.
La Directiva hace referencia a una dirección En una configuración VPN basada en directivas, una
de destino. directiva de túnel hace referencia específicamente a un
túnel VPN por nombre.
El número de túneles de VPN basados en El número de túneles VPN basados en la Directiva que
rutas que crea está limitado por el número puede crear está limitado por el número de directivas
de entradas de ruta o el número de que admite el dispositivo.
interfaces st0 compatibles con el
dispositivo, el número menor.
La configuración del túnel VPN basado en la Con una VPN basada en directivas, aunque puede
ruta es una buena elección cuando se desea crear numerosas directivas de túnel que hagan
conservar los recursos de túnel mientras se referencia al mismo túnel de VPN, cada par de
establecen restricciones granulares en el directivas de túnel crea una asociación de seguridad
tráfico VPN. IPsec (SA) individual con el interlocutor remoto. Cada
SA cuenta como un túnel VPN individual.
Con un enfoque de VPN basado en la ruta, En una configuración VPN basada en políticas, la
el Reglamento de tráfico no se asocia con acción debe ser permitir y debe incluir un túnel.
los medios de su entrega. Puede configurar
docenas de directivas para regular el tráfico
que fluye a través de un túnel único de VPN
entre dos sitios y que sólo hay una
asociación de IPsec en el trabajo. Además,
una configuración VPN basada en rutas le
permite crear políticas que hacen referencia
a un destino alcanzado a través de un túnel
VPN en el que la acción es deny (denegar).
242
Tabla 17: Diferencias entre VPN basadas en rutas y VPN basadas en políticas (Continued)
Las configuraciones basadas en la ruta se Las VPN basadas en políticas no se pueden utilizar
utilizan para topologías de concentrador y para topologías de concentrador y periferia.
periferia.
Con las VPN basadas en la ruta, una Cuando un túnel no conecta redes de gran tamaño que
directiva no hace referencia específicamente ejecutan protocolos de enrutamiento dinámico y no
a un túnel VPN. necesita conservar túneles ni definir varias políticas
para filtrar el tráfico a través del túnel, la mejor opción
es un túnel basado en la Directiva.
Las VPN basadas en la ruta no son Los túneles VPN basados en políticas son necesarios
compatibles con las configuraciones VPN de para las configuraciones VPN de acceso remoto (dial-
acceso remoto (acceso telefónico). up).
Es posible que las redes VPN basadas en la Es posible que se necesiten VPN basadas en políticas
ruta no funcionen correctamente con otros si el tercero requiere una SAs independiente para cada
proveedores. subred remota.
243
Tabla 17: Diferencias entre VPN basadas en rutas y VPN basadas en políticas (Continued)
Cuando el dispositivo de seguridad realiza Con un túnel VPN basado en directivas, puede
una búsqueda de ruta para encontrar la considerar un túnel como un elemento en la
interfaz a través de la cual debe enviar construcción de una política.
tráfico para llegar a una dirección, encuentra
una ruta a travésst0de una interfaz de túnel
seguro (), que está enlazada a un túnel VPN
específico.
Las VPN basadas en la ruta TDR son Las VPN basadas en políticas no se pueden utilizar si
compatibles con las interfaces st0. se requiere TDR para el tráfico de túnel.
El ID de proxy se admite para VPN basadas en rutas y basadas en directivas. Los túneles basados en ruta
también ofrecen el uso de varios selectores de tráfico también conocidos como ID de multi proxy. Un
selector de tráfico es un acuerdo entre los pares de ICR para permitir tráfico a través de un túnel, si el
tráfico coincide con un par especificado de prefijo de dirección IP local y remota, rango de puerto de
origen, intervalo de puerto de destino y protocolo. Un selector de tráfico se define dentro de una VPN
basada en ruta específica, lo que puede dar como resultado varias SA de IPsec de fase 2. Solo se permite
el tráfico que se ajusta a un selector de tráfico a través de una SA. Normalmente, el selector de tráfico es
necesario cuando los dispositivos de puerta de enlace remota son dispositivos no Juniper Networks.
Las VPN basadas en políticas solo se admiten en dispositivos SRX5400, SRX5600 y SRX5800. La
compatibilidad de la plataforma depende de la versión Junos OS de la instalación.
VÍNCULOS RELACIONADOS
in this section
Una VPN basada en políticas es una configuración en la cual se especifica un túnel VPN IPsec creado
entre dos puntos de conexión dentro de la propia política con una acción de política para el tráfico de
tránsito que cumple con los criterios de coincidencia de la política.
Para VPN IPsec basada en políticas, una política de seguridad especifica como su acción el túnel VPN
que se utilizará para el tráfico de tránsito que cumple con los criterios de coincidencia de la política. Una
VPN está configurada independientemente de una declaración de directiva. La instrucción de directiva
hace referencia a la VPN por su nombre para especificar el tráfico que tiene permiso de acceso al túnel.
Para VPN basadas en directivas, cada directiva crea una asociación de seguridad IPsec (SA) individual
con el interlocutor remoto, cada uno de los cuales cuenta como un túnel VPN individual. Por ejemplo, si
una Directiva contiene una dirección de origen del grupo y una dirección de destino del grupo, siempre
que uno de los usuarios que pertenecen a la dirección intente comunicarse con cualquiera de los hosts
especificados como dirección de destino, se negociará un nuevo túnel y establece. Dado que cada túnel
requiere su propio proceso de negociación y un par independiente de SA, el uso de VPN de IPsec
basadas en políticas puede consumir más recursos que las VPN basadas en la ruta.
• Las VPN basadas en políticas le permiten dirigir el tráfico en función de las políticas del cortafuegos.
Recomendamos que utilice VPN basado en la ruta cuando desee configurar una VPN entre varios sitios
remotos. Las VPN basadas en la ruta pueden proporcionar las mismas capacidades que las VPN basadas
en políticas.
246
SEE ALSO
in this section
Aplicables | 246
Automática | 252
Comproba | 267
En este ejemplo se muestra cómo configurar una VPN basada en Directiva para permitir que los datos se
transfieran de manera segura entre una sucursal y la oficina corporativa.
Aplicables
Antes de comenzar, lea Introducción a VPN de IPSec.
Descripción general
En este ejemplo, se configura una VPN basada en políticas para una sucursal de Chicago, Illinois, ya que
no es necesario conservar los recursos de túnel ni configurar muchas políticas de seguridad para filtrar el
tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red privada virtual para
conectarse con sus sedes empresariales en Sunnyvale, California.
247
Figura 24 en la página 247muestra un ejemplo de una topología VPN basada en políticas. En esta
topología, el dispositivo serie SRX se encuentra en Sunnyvale, mientras que un dispositivo de la serie
SSG (o puede ser otro dispositivo de otro fabricante) se encuentra en Chicago.
ICR la negociación de túnel IPsec se produce en dos fases. En la fase 1, los participantes establecen un
canal seguro en el que negociar la Asociación de seguridad IPsec (SA). En la fase 2, los participantes
negocian la SA IPsec para autenticar el tráfico que fluirá a través del túnel. Al igual que existen dos fases
para la negociación del túnel, existen dos fases para la configuración del túnel.
En este ejemplo, puede configurar las interfaces, una ruta predeterminada IPv4, las zonas de seguridad y
las libretas de direcciones. A continuación, configure ICR fase 1, la fase 2 de IPsec, la Directiva de
248
seguridad y los parámetros TCP-MSS. Consulte Tabla 18 en la página 248 a Tabla 22 en la página
252través de.
ge-0/0/3.0 10.1.1.2/30
• PF Diffie-Hellman grupo2
• destino de la dirección de
Chicago
• aplicación cualquier
• Sunnyvale de dirección de
destino
• aplicación cualquier
Purpose Parámetros de
configuración
TCP-MSS se negocia como parte del Protocolo de enlace de TCP de tres vías y Valor MSS: 1350
limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites
de unidad máxima de transmisión (MTU) en una red. Esto es especialmente
importante para el tráfico VPN, ya que la sobrecarga de encapsulación IPsec,
junto con la sobrecarga de IP y Frame, puede hacer que el paquete de carga de
seguridad encapsuladora (ESP) resultante supere la MTU de la interfaz física,
causando así la fragmentación. La fragmentación da como resultado un uso más
elevado de los recursos de dispositivos y ancho de banda.
Se recomienda el valor 1350 como punto de partida para la mayoría de las redes
basadas en Ethernet con una MTU de 1500 o superior. Es posible que necesite
experimentar con distintos valores de TCP-MSS para obtener un rendimiento
óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo
de la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional,
como PPP o Frame Relay.
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
254
[edit ]
user@host# edit security zones security-zone untrust
[edit]
user@host# edit security zones security-zone trust
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
}
[edit]
user@host# show security zones
256
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security address-book
book1 {
address sunnyvale 192.168.10.0/24;
attach {
zone trust;
}
}
book2 {
address chicago 192.168.168.0/24;
attach {
zone untrust;
}
}
Configurar ICR
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@host# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ike-phase1-policy;
address 10.1.1.1;
external-interface ge-0/0/3.0;
}
Configuración de IPsec
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security ipsec proposal ipsec-phase2-proposal
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn ike-vpn-chicago {
ike {
gateway gw-chicago;
ipsec-policy ipsec-phase2-policy;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone trust to-zone untrust policy vpn-tr-untr match source-address sunnyvale
set security policies from-zone trust to-zone untrust policy vpn-tr-untr match destination-address chicago
set security policies from-zone trust to-zone untrust policy vpn-tr-untr match application any
set security policies from-zone trust to-zone untrust policy vpn-tr-untr then permit tunnel ipsec-vpn ike-vpn-
263
chicago
set security policies from-zone trust to-zone untrust policy vpn-tr-untr then permit tunnel pair-policy vpn-
untr-tr
set security policies from-zone untrust to-zone trust policy vpn-untr-tr match source-address chicago
set security policies from-zone untrust to-zone trust policy vpn-untr-tr match destination-address sunnyvale
set security policies from-zone untrust to-zone trust policy vpn-untr-tr match application any
set security policies from-zone untrust to-zone trust policy vpn-untr-tr then permit tunnel ipsec-vpn ike-vpn-
chicago
set security policies from-zone untrust to-zone trust policy vpn-untr-tr then permit tunnel pair-policy vpn-tr-
untr
set security policies from-zone trust to-zone untrust policy permit-any match source-address any
set security policies from-zone trust to-zone untrust policy permit-any match destination-address any
set security policies from-zone trust to-zone untrust policy permit-any match application any
set security policies from-zone trust to-zone untrust policy permit-any then permit
insert security policies from-zone trust to-zone untrust policy vpn-tr-untr before policy permit-any
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no
confianza.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de
confianza.
3. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no
confianza.
4. Reordenar las políticas de seguridad para que la Directiva de seguridad de VPN-TR-untr esté situada
por encima de la Directiva permit-any Security.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy vpn-tr-untr {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ike-vpn-chicago;
pair-policy vpn-untr-tr;
265
}
}
}
}
policy permit-any {
match {
source-address any;
destination-address any;
application any;
}
then {
permit
}
}
}
from-zone untrust to-zone trust {
policy vpn-untr-tr {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ike-vpn-chicago;
pair-policy vpn-tr-untr;
}
}
}
}
}
Configurar TCP-MSS
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
266
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
[edit]
user@host# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más
información acerca de cómo configurar dispositivos serie SSG, consulte la Guía de referencia de
Conceptos y ejemplos de ScreenOS,que se encuentra en la https://www.juniper.net/documentation.
267
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
Comproba
in this section
Revisar las estadísticas y los errores de una asociación de seguridad IPsec | 271
Purpose
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a
un host en la red 192.168.168/24. En el caso de las VPN basadas en políticas, un host independiente
debe generar el tráfico; el tráfico iniciado desde el dispositivo serie SRX no coincidirá con la directiva
VPN. Recomendamos que el tráfico de prueba sea de un dispositivo independiente en un extremo de la
VPN a otro dispositivo del otro extremo de la VPN. Por ejemplo, inicie ping desde 192.168.10.10 a
192.168.168.10.
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA)
activas de ICR fase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase
1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Estado
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
El show security ike security-associations index 1 detail comando enumera la información adicional
acerca de la Asociación de seguridad con el número de índice 1:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El número de identificación es 2. Utilice este valor con el show security ipsec security-associations
index comando para obtener más información acerca de esta SA en particular.
• Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido
TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 3565/unlim indica que la duración de la fase 2 caduca en 3565 segundos y que
no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede
diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
la supervisión de VPN está habilitada, se enumeran U (arriba) o D (abajo).
La salida del show security ipsec security-associations index 16384 detail comando muestra la siguiente
información:
Una de las causas más frecuentes de un error de fase 2 es que no coincidan los IDENTIFICADOres
de proxy. Para las VPN basadas en políticas, el ID del proxy se deriva de la Directiva de seguridad. La
dirección local y la dirección remota se derivan de las entradas de la libreta de direcciones, y el
servicio se deriva de la aplicación configurada para la Directiva. Si la fase 2 falla debido a un ID de
proxy, puede utilizar la Directiva para confirmar qué entradas de la libreta de direcciones están
configuradas. Compruebe que las direcciones coinciden con la información enviada. Compruebe el
servicio para asegurarse de que los puertos coinciden con la información enviada.
Purpose
Revisar los contadores ESP y los encabezados de autenticación, así como los errores de una asociación
de seguridad IPsec.
272
Intervención
Desde el modo operativo, escriba show security ipsec statistics index index_number el comando
utilizando el número de índice de la VPN cuyas estadísticas desea ver.
También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los
errores de todas las SA.
Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.
Efectos
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el comando varias veces para
confirmar que los contadores de show security ipsec statistics paquetes cifrados y descifrados se
incrementan. También debe comprobar si el resto de los contadores de errores se están incrementando.
SEE ALSO
VÍNCULOS RELACIONADOS
in this section
Aplicables | 273
Automática | 277
Comproba | 290
En este ejemplo se muestra cómo configurar, comprobar y solucionar problemas de PKI. Este tema
incluye las siguientes secciones:
Aplicables
Antes de empezar:
• Asegúrese de que la interfaz LAN interna del dispositivo de serie SRX sea GE-0/0/0 en la confianza
de zona y de que tenga una subred IP privada.
• Asegúrese de que la interfaz de Internet del dispositivo es GE-0/0/3 en zona de no confianza y que
tiene una dirección IP pública.
274
• Asegúrese de que se permite todo el tráfico entre las LAN local y remota, y que el tráfico puede
iniciarse desde ambos lados.
• Asegúrese de que el SSG5 se haya preconfigurado correctamente y cargado con un certificado local
listo para usar, certificado de CA y CRL.
• Asegúrese de que el dispositivo SSG5 está configurado para usar el FQDN de ssg5.example.net (ICR
ID).
• Asegúrese de que los certificados de PKI con claves de 1024 bits se utilizan para las negociaciones
de ICR en ambos lados.
Descripción general
Figura 25 en la página 274muestra la topología de red utilizada para este ejemplo para configurar una
VPN basada en directivas para permitir que los datos se transfieran de manera segura entre una oficina
corporativa y una oficina remota.
La administración de la PKI es la misma para las VPN basadas en directivas y las VPN basadas en rutas.
En este ejemplo, el tráfico VPN se entra en la interfaz GE-0/0/0.0 con el próximo salto de 10.1.1.1. Por
lo tanto, el tráfico se saliente en la interfaz GE-0/0/3.0. Cualquier directiva de túnel debe tener en
cuenta las interfaces entrantes y salientes.
Opcionalmente, puede utilizar un protocolo de enrutamiento dinámico, como OSPF (no descrito en este
documento). Cuando se procesa el primer paquete de una nueva sesión, el dispositivo que ejecuta Junos
275
OS realiza primero una búsqueda de ruta. La ruta estática, que también es la ruta predeterminada, dicta
la zona del tráfico VPN saliente.
Muchas entidades emisoras de nombres de host de uso (por ejemplo, FQDN) para especificar varios
elementos de la PKI. Dado que el CDP suele especificarse mediante una dirección URL que contiene un
FQDN, debe configurar un solucionador de DNS en el dispositivo que ejecuta Junos OS.
El proceso de solicitud de certificados PKCS10 implica generar un par de claves pública o privada y, a
continuación, generar la propia solicitud de certificado, mediante el par de claves.
• El perfil de entidad emisora define los atributos de una entidad emisora de certificados.
• Puede haber varios perfiles de este tipo presentes en el sistema creado para distintos usuarios.
Las siguientes opciones están disponibles para generar la solicitud de certificado PKCS10:
• certificate-id : nombre del certificado digital local y el par de claves pública y privada. Esto garantiza
que se utilizará el par de claves adecuado para la solicitud de certificado y, en última instancia, el
certificado local.
A partir de Junos os versión de 19.1 R1, se agrega una comprobación de confirmación para
evitar .que /el %usuario agregue,, y espacio en un identificador de certificado mientras se genera un
certificado local o remoto o un par de claves.
• subject : formato de nombre distinguido que contiene el nombre común, departamento, nombre de
la empresa, estado y país:
• UNIDAD: Departamento
• O: Nombre de la empresa
• L: localidad
• ST: estado
• C: país
• CN: teléfono
No es necesario insertar todos los componentes de nombre de asunto. Tenga en cuenta también
que puede introducir varios valores de cada tipo.
• domain-name : FQDN. El FQDN proporciona la identidad del propietario del certificado para las
negociaciones de ICR y proporciona una alternativa al nombre del sujeto.
• filename (path | terminal) — (Opcional) Ubicación en la que se debe colocar la solicitud de certificado
o el terminal de inicio de sesión.
Debe usar un nombre de dominio, una dirección IP o una dirección de correo electrónico.
Para asignar un nombre al par de claves generado, se utiliza una identidad única llamada Certificate-ID.
Este identificador también se utiliza en los comandos de inscripción y solicitud de certificados para
obtener el par de claves correcto. El par de claves generado se guarda en el almacén de certificados en
277
un archivo con el mismo nombre que el identificador del certificado. El tamaño del archivo puede ser
1024 o 2048 bits.
• Por Perfil de CA
• Perfil de CA predeterminado
El proceso de recuperar el certificado de AC, el nuevo certificado local del dispositivo y la CRL del AC
depende de la configuración de AC y el proveedor de software en uso.
• Confiar
• VeriSign
• Microsoft
Aunque otros servicios de software de CA, como OpenSSL se pueden utilizar para generar certificados,
Junos OS no comprueban estos certificados.
Automática
in this section
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en la Junos OS CLI usuario .
1. Configure una dirección IP y una familia de protocolos en las interfaces Gigabit Ethernet.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet address 192.168.10.1/24
user@host# set ge-0/0/3 unit 0 family inet address 10.1.1.2/30
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
[edit]
user@host# set system time-zone PST8PDT
Una vez confirmada la configuración, Compruebe la configuración del show system uptime reloj con
el comando.
[edit]
user@host# set system name-server 172.31.2.1
user@host# set system name-server 172.31.2.2
Configuración de un perfil de CA
[edit]
user@host# set security pki ca-profile ms-ca ca-identity example.com
2. Cree una comprobación de revocación para especificar un método para comprobar la revocación de
certificados.
[edit]
user@host# set security pki ca-profile ms-ca revocation-check crl refresh-interval 48
con el perfil de CA, cuando la descarga de CRL ha fallado para un perfil de CA. Las sesiones solo se
permitirán si no hay ninguna CRL antigua presente en el mismo perfil de CA.
3. Especifique la ubicación (dirección URL) para recuperar la CRL (HTTP o LDAP). De forma
predeterminada, la dirección URL está vacía y utiliza la información de CDP incrustada en el
certificado de entidad emisora.
[edit]
user@host# set security pki ca-profile ms-ca revocation-check crl url http://srv1.example.com/
CertEnroll/EXAMPLE.crl
Actualmente solo puede configurar una dirección URL. La compatibilidad con la configuración de URL
de copia de seguridad no está disponible.
4. Especifique una dirección de correo electrónico para enviar la solicitud de certificado directamente a
un administrador de CA.
5. Confirme la configuración:
Cuando se configura el perfil de la entidad de certificación, el siguiente paso consiste en generar un par
de claves en el dispositivo de Juniper Networks. Para generar el par de claves privada y pública:
Resultados
Después de generar el par de claves pública y privada, el Juniper Networks dispositivo muestra lo
siguiente:
1. Generar una solicitud de certificado local en el formato PKCS-10. Consulte "solicitar pki de seguridad
generate-certificate-request" en la página 1807.
En el ejemplo del certificado PKCS10, la solicitud comienza con e incluye la línea de solicitud de
certificado BEGIN y termina con e incluye la línea de solicitud de certificado final. Esta parte se
puede copiar y pegar en su entidad emisora de certificados para su inscripción. Opcionalmente,
también puede descargar el archivo MS-CERT-req y enviarlo a su CA.
Puede comprobar que todos los archivos se han cargado con el comando file list.
También debe especificar el identificador de certificado para mantener la vinculación correcta con el
par de claves pública o privada. En este paso, se carga el certificado en el almacenamiento de caché
de RAM del módulo PKI, se comprueba la clave privada asociada y se comprueba la operación de
firma.
user@host> request security pki local-certificate load certificate-id ms-cert filename certnew.cer
Local certificate loaded successfully
user@host> request security pki ca-certificate load ca-profile ms-ca filename CA-certnew.cer
Fingerprint:
1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1)
90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
Do you want to load this CA certificate ? [yes,no] (no) yes
CA certificate for profile ms-ca loaded successfully
El tamaño máximo de la CRL es de 5 MB. Debe especificar el perfil de entidad emisora asociado en el
comando.
user@host> request security pki crl load ca-profile ms-ca filename certcrl.crl
CRL for CA profile ms-ca loaded successfully
Resultados
Fingerprint:
c9:6d:3d:3e:c9:3f:57:3c:92:e0:c4:31:fc:1c:93:61:b4:b1:2d:58 (sha1)
50:5d:16:89:c9:d3:ab:5a:f2:04:8b:94:5d:5f:65:bd (md5)
Puede mostrar los detalles de cada certificado si especifica Certificate-ID en la línea de comandos.
Compruebe todas las listas CRL cargadas o las listas CRL del perfil de entidad emisora de certificados
individual especificada.
Para configurar IPsec VPN con el certificado, consulte el diagrama de red que se muestra enFigura 25 en
la página 274
En este ejemplo, los paquetes entran ge-0/0/0en el, y la zona de entrada es la zona de confianza.
Los servicios de entrada de host son para el tráfico destinado al dispositivo Juniper Networks. Estas
opciones incluyen, aunque no se limitan, el protocolo FTP, HTTP, HTTPS, ICR, ping, rlogin, RSH,
SNMP, SSH, Telnet, TFTP y traceroute.
El intercambio de fase 1 puede tener lugar tanto en el modo principal como en el dinámico.
En este ejemplo, el interlocutor se identifica con un nombre de host (hostname). Por lo tanto, el
identificador de ICR de puerta de enlace debe ser el nombre de dominio remoto del mismo nivel.
287
8. Configure la VPN de IPsec con una puerta de enlace ICR y una directiva IPsec.
En este ejemplo, se debe hacer referencia al nombre VPN IKE-VPN en la Directiva de túnel para
crear una asociación de seguridad. Además, si es necesario, puede especificarse un tiempo de
inactividad y un ID de proxy si son diferentes de las direcciones de directiva de túnel.
En este ejemplo, el tráfico de la LAN de host a la red de área local de la oficina remota requiere una
directiva de túnel de inconfianza de zona de confianza de una zona. Sin embargo, si una sesión debe
proceder de la LAN remota a la LAN del host, también será necesario disponer de una directiva de
túnel en la dirección opuesta a la de la confianza de no confiar en zonas de la zona. Cuando se
especifica la Directiva en la dirección opuesta a la Directiva de pares, la VPN se convierte en
bidireccional. Tenga en cuenta que, además de la acción permitir, también debe especificar el perfil
IPsec que se va a utilizar. Tenga en cuenta que para las directivas de túnel, la acción siempre es
288
permitir. De hecho, si está configurando una directiva con la acción de denegar, no verá una opción
para especificar el túnel.
10. Configure una regla de TDR de origen y una política de seguridad para el tráfico de Internet.
La Directiva de seguridad debe estar situada debajo de la Directiva de túnel en la jerarquía, ya que
la lista de directivas se lee de arriba a abajo. Si esta directiva estuviera por encima de la Directiva de
túnel, el tráfico siempre coincidiría con esta directiva y no continuaría con la siguiente directiva. Por
lo tanto, no se cifrará el tráfico de los usuarios.
12. Configure la configuración de TCP-MSS para el tráfico TCP a través del túnel.
TCP: MSS se negocia como parte del Protocolo de enlace TCP de 3 vías. Limita el tamaño máximo
de un segmento TCP para acomodar los límites de MTU en una red. Esto es muy importante para el
tráfico VPN, ya que la sobrecarga de encapsulación IPsec junto con la sobrecarga de IP y frame
puede hacer que el paquete ESP resultante supere la MTU de la interfaz física, causando la
fragmentación. Debido a que la fragmentación aumenta el uso de los recursos de dispositivos y el
ancho de banda, y en general, debe evitarse.
El valor recomendado para TCP-MSS es el 1350 para la mayoría de las redes basadas en Ethernet
con una MTU de 1500 o superior. Es posible que sea necesario modificar este valor si algún
dispositivo de la ruta de acceso tiene un valor menor de MTU o si hay una sobrecarga añadida,
como PPP, Frame Relay, etc. Como regla general, es posible que necesite experimentar con distintos
valores de TCP-MSS para obtener un rendimiento óptimo.
Comproba
in this section
Purpose
Confirme el estado de VPN mediante la comprobación del estado de las asociaciones de seguridad de
ICR fase 1.
La PKI relacionada con los túneles IPsec se compone durante la instalación de la fase 1. La finalización
de la fase 1 indica que la infraestructura de claves públicas se ha realizado correctamente.
Intervención
Efectos
• El ID de ICR del mismo nivel remoto, la Directiva ICR y las interfaces externas son correctos.
• El índice 20 es un valor único para cada ICR Asociación de seguridad. Puede utilizar estos detalles de
salida para obtener más detalles acerca de cada Asociación de seguridad. Consulte "Obtener detalles
de asociaciones de seguridad individuales" en la página 291la.
• Hay ICR parámetros de la Directiva, como el tipo de modo equivocado (aggr o Main), problemas de
PKI o propuestas de la fase 1 (todas deben coincidir en ambos interlocutores). Para obtener más
información, "Solución de problemas de ICR, PKI e IPsec" en la página 298consulte.
• La interfaz externa no es válida para recibir los paquetes de ICR. Compruebe las configuraciones de
problemas relacionados con la PKI, compruebe si hay errores en el registro del daemon de
administración de claves (KMD) o ejecute opciones de seguimiento para encontrar las diferencias.
Para obtener más información, "Solución de problemas de ICR, PKI e IPsec" en la página 298consulte.
Purpose
Intervención
En modo operativo, escriba el show security ike security-associations index 20 detail comando.
Efectos
El resultado muestra los detalles de cada ICR SAs, como el rol (iniciador o contestador), el estado, el tipo
de intercambio, el método de autenticación, los algoritmos de cifrado, las estadísticas de tráfico, el
estado de negociación de la fase 2, etc.
• Conocer la función del ICR SA. La solución de problemas es más sencilla cuando el interlocutor tiene
la función de contestador.
• Obtenga las estadísticas de tráfico para comprobar el flujo de tráfico en ambas direcciones.
Purpose
Cuando se confirme ICR fase 1, verá las asociaciones de seguridad de IPsec (fase 2).
293
Intervención
Efectos
• Existe un par de SA IPsec configurado. El número de Puerto 500 indica que se utiliza un puerto de
ICR estándar. De lo contrario, es de Traducción de direcciones de red de desplazamiento (TDR-T),
4500 o puerto alto aleatorio.
• El índice de parámetros de seguridad (SPI) se utiliza en ambas direcciones. La duración o los límites
de uso de la SA se expresan en segundos o en kilobytes. En el resultado, 1676/unlim indica que la
vida de la fase 2 está establecida para que expire en 1676 segundos y no se ha especificado ningún
tamaño de vigencia.
• Un guión (-) en la columna LUN indica que la supervisión VPN no está habilitada para esta SA.
La duración de la fase 2 puede ser diferente del tiempo de vida de la fase 1, ya que la fase 2 no depende
de la fase 1 después de que la VPN está activa.
Purpose
Mostrar los detalles de Asociación de IPsec individuales identificados por el número de índice.
294
Intervención
En modo operativo, escriba el show security ipsec security-associations index 2 detail comando.
Efectos
Tenga en cuenta que un error de ID de proxy puede hacer que no se complete la fase 2. El ID de proxy
se deriva de la Directiva de túnel (para VPN basadas en Directiva). La dirección local y la dirección
remota se derivan de las entradas de la libreta de direcciones, y el servicio se deriva de la aplicación
configurada para la Directiva.
Si la fase 2 falla debido a un identificador de proxy que no coincide, compruebe qué entradas de la
libreta de direcciones están configuradas en la Directiva y asegúrese de que se han enviado las
direcciones correctas. Asegúrese también de que los puertos coincidan. Compruebe el servicio para
asegurarse de que los puertos coinciden con los servidores remoto y local.
Si se configuran varios objetos en una directiva de túnel para la dirección de origen, la dirección de
destino o la aplicación, el ID de proxy resultante de ese parámetro cambia a ceros.
295
Si IPsec no puede completarse, compruebe el registro KMD o utilice el set traceoptions comando. Para
obtener más información, "Solución de problemas de ICR, PKI e IPsec" en la página 298consulte.
Purpose
Intervención
Efectos
Es recomendable ejecutar este comando varias veces para observar cualquier problema de pérdida de
paquetes en una VPN. La salida de este comando también muestra las estadísticas de los contadores de
paquetes cifrados y descifrados, los contadores de errores, etc.
Debe habilitar las opciones de seguimiento de flujo de seguridad para investigar qué paquetes ESP
tienen errores y por qué. Para obtener más información, "Solución de problemas de ICR, PKI e IPsec" en
la página 298consulte.
Purpose
El flujo de tráfico de prueba a través de la VPN después de la fase 1 y la fase 2 se han completado
correctamente. Puede probar el flujo del tráfico utilizando el ping comando. Puede hacer ping desde el
host local al host remoto. También puede iniciar pings desde el propio dispositivo Juniper Networks.
En este ejemplo se muestra cómo iniciar una solicitud ping desde el dispositivo de Juniper Networks al
host remoto. Tenga en cuenta que cuando se inician pings desde el dispositivo Juniper Networks, debe
especificarse la interfaz de origen para garantizar que tenga lugar la búsqueda de ruta correcta y que se
haga referencia a las zonas correspondientes en la búsqueda de la Directiva.
En este ejemplo, la interfaz GE-0/0/0,0 reside en la misma zona de seguridad que el host local y se debe
especificar en la solicitud ping para que la búsqueda de la directiva pueda ser de la confianza de zona a la
zona en la que no se confía.
Intervención
Confirmación de la conectividad
Purpose
Intervención
Efectos
Puede confirmar la conectividad de extremo a extremo utilizando el ping comando del host remoto al
host local. En este ejemplo, el comando se inicia desde el dispositivo SSG5.
Una conectividad de extremo a extremo con errores puede indicar un problema con el enrutamiento, la
Directiva, el host final o el cifrado/descifrado de los paquetes ESP. Para comprobar las causas exactas
del fallo:
• Compruebe las estadísticas de IPsec para obtener más detalles sobre "Comprobando estadísticas de
SA de IPsec" en la página 295errores, tal y como se describe en.
• Confirme la Conectividad del host final con ping el comando de un host en la misma subred que el
host final. Si otros hosts tienen acceso al host final, puede suponer que el problema no está
relacionado con el host final.
• Habilite las opciones de seguimiento de flujo de seguridad para solucionar problemas relacionados
con el enrutamiento y las directivas.
298
in this section
Comprobar los archivos de registro para comprobar distintos escenarios y cargar los archivos de registro
en un FTP | 300
Habilitar las opciones de seguimiento de PKI para ver mensajes en IPsec | 302
Configuración de las opciones de seguimiento de ICR y PKI para solucionar problemas ICR la instalación
con certificados | 303
Relacionado
2. Depurando el problema.
El enfoque común para iniciar la solución de problemas es la capa más baja de las capas OSI, así como el
modo de trabajo de la pila OSI para confirmar la capa en la que se produce el fallo.
299
Solución
Los pasos básicos para solucionar ICR, PKI e IPsec son los siguientes:
• Confirme la conectividad física del vínculo de Internet en los niveles de vínculo físico y de datos.
• Confirme que el dispositivo de Juniper Networks tiene conectividad con el próximo salto de Internet
y conectividad con el interlocutor de ICR remoto.
• Confirme que el flujo de tráfico se encuentra en la VPN (si la VPN está activa).
Junos OS incluye la característica opciones de seguimiento. Con esta característica, puede activar una
marca de opción de traza para escribir los datos desde la opción Trace en un archivo de registro, que
puede predeterminarse o configurarse manualmente y almacenarse en memoria Flash. Estos registros de
seguimiento se pueden conservar incluso después del reinicio del sistema. Compruebe el
almacenamiento de memoria flash disponible antes de implementar las opciones de seguimiento.
Relacionado
Compruebe las estadísticas del espacio libre en disco en los sistemas de archivos del dispositivo.
Solución
Comprobar los archivos de registro para comprobar distintos escenarios y cargar los
archivos de registro en un FTP
Relacionado
Vea los archivos de registro para comprobar la seguridad ICR mensajes de depuración, de flujo de
seguridad y el estado del registro al syslog.
Solución
Desde el modo operativo, escriba show log kmdshow log pkid los comandos , show log security-
traceshow log messages y.
Puede ver una lista de todos los registros del directorio/var/log mediante el show log comando.
Los archivos de registro también se pueden cargar en un servidor FTP utilizando el file copy comando.
(operational mode):
user@host> file copy path/filename dest-path/filename
Example:
Relacionado
Para ver los mensajes de error o éxito para ICR o IPsec, puede ver el registro de KMD con show log kmd
el comando. Dado que el registro KMD muestra algunos mensajes generales, puede ser útil obtener
detalles adicionales habilitando las opciones de seguimiento de ICR y PKI.
Generalmente, se trata de una práctica recomendada para solucionar problemas del mismo nivel que
tiene la función de contestador. Debe obtener los resultados de la traza del iniciador y del respondedor
para comprender la causa de un error.
Solución
user@host> configure
Entering configuration mode
[edit]
user@host# edit security ike traceoptions
[edit security ike traceoptions]
Si no especifica nombres de archivo para el < campo nombrearchivo >, todas las opciones de traza ICR
se escribirán en el registro KMD.
Debe especificar al menos una opción de indicador para escribir los datos de seguimiento en el registro.
Por ejemplo:
• file size : tamaño máximo de cada archivo de seguimiento, en bytes. Por ejemplo, 1 millón (1 millón)
puede generar un tamaño máximo de archivo de 1 MB.
Relacionado
Habilite las opciones de seguimiento de PKI para identificar si un fallo de ICR está relacionado con el
certificado o con un problema que no sea de la PKI.
Solución
Relacionado
Las opciones de seguimiento del ICR y la PKI utilizan los mismos parámetros, pero el nombre de archivo
predeterminado de todas las trazas relacionadas con la PKI se encuentra en el registro pkid.
Solución
user@host> configure
Entering configuration mode
commit complete
Exiting configuration mode
Relacionado
Comprenda el resultado del show log kmd comando cuando las condiciones ICR Phase 1 y Phase 2
tengan éxito.
Solución
• Phase 1 [responder] done— Estado de fase 1, junto con la función (iniciador o respondedor).
• Phase 2 [responder] done— Estado de fase 1, junto con la información del ID de proxy.
También puede confirmar el estado de SA de IPsec mediante los comandos de comprobación que
"Confirmación de ICR estado de la fase 1" en la página 290se mencionan en la.
Relacionado
Al comprender el resultado del show log kmd comando, donde la condición ICR fase 1 es un fallo, ayuda
a determinar la razón de la VPN que no establece la fase 1.
305
Solución
Nov 7 11:52:14 Phase-1 [responder] failed with error(No proposal chosen) for
local=unknown(any:0,[0..0]=) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 011359c9 ddef501d -
2216ed2a bfc50f5f [-
1] / 0x00000000 } IP; Error = No proposal chosen (14)
• Phase-1 [responder] failed with error (No proposal chosen)— Error de fase 1 debido a la discordancia
de la propuesta.
Para resolver este problema, asegúrese de que los parámetros para la puerta de enlace de ICR las
propuestas del contestador y del iniciador coincidan. Confirme también que existe una directiva de túnel
para la VPN.
Relacionado
Comprender el resultado del show log kmd comando cuando la condición de la fase 1 ICR es un fallo.
Esto ayuda a determinar la razón de la VPN que no establece la fase 1.
Solución
• Phase 1 [responder] failed with error (Authentication failed)— Error de fase 1 debido a que el
respondedor no reconoce la solicitud entrante que se origina en un par de puerta de enlace válido. En
el caso de ICR con certificados de PKI, este error suele indicar que se especificó o se especificó un
tipo de ID ICR incorrecto.
Para resolver este problema, confirme que se especifica el tipo de ICR del mismo nivel correcto en el
elemento del mismo nivel local de acuerdo con lo siguiente:
Relacionado
Comprender el resultado del show log kmd comando cuando la condición de la fase 1 ICR es un fallo.
Solución
Este error indica que se perdió el paquete ICR enrutar hacia el elemento del mismo nivel remoto o
que hay un retraso o que no hay respuesta del interlocutor remoto.
Dado que este error de tiempo de espera es el resultado de esperar una respuesta del demonio de PKI,
debe revisar la salida de las opciones de seguimiento de PKI para ver si existe un problema con la PKI.
307
Relacionado
Comprenda el resultado del show log kmd comando cuando la condición ICR fase 2 sea un fallo.
Solución
• Failed to match the peer proxy ids: se reciben los ID de proxy incorrectos. En el ejemplo anterior, los
dos ID. de proxy recibidos son 192.168.168.0/24 (remoto) y 10.10.20.0/24 (local) (para servicio =
cualquiera). En función de la configuración dada en este ejemplo, la dirección local esperada es
192.168.10.0/24. Esto demuestra que las configuraciones no coinciden en el elemento del mismo
nivel local, lo que produce un error en la coincidencia del identificador de proxy.
Para resolver este problema, corrija la entrada de la libreta de direcciones o configure el ID de proxy
en cualquiera de los interlocutores para que coincida con el otro interlocutor.
La salida también indica que la razón del error No proposal chosenes. Sin embargo, en este caso
también verá el Failed to match the peer proxy idsmensaje.
308
Relacionado
Comprenda el resultado del show log kmd comando cuando la condición ICR fase 2 sea un fallo.
Solución
• Error = No proposal chosen: no se eligió ninguna propuesta durante la fase 2. Este problema se debe
a una discordancia de propuestas entre los dos pares.
Para resolver este problema, confirme que las propuestas de la fase 2 coinciden en ambos
interlocutores.
Relacionado
Solución
Los métodos de solución de problemas relacionados con ICR y PKI son los siguientes:
309
• Asegúrese de que el reloj, la fecha, la zona horaria y la configuración del horario de verano son
correctas. Utilice NTP para mantener la precisión del reloj.
• Asegúrese de usar un código de país de dos letras en el campo "C =" (país) del DN.
Por ejemplo: usar "US" y no "EE. UU." o "Estados Unidos". Algunas CA requieren que el campo país de
la DN se rellene, lo que le permite ingresar el valor de código de país solo con un valor de dos letras.
• Asegúrese de que si un certificado del mismo nivel está utilizando varios campos OU = o CN =, está
utilizando el nombre completo con el método de contenedor (debe mantenerse la secuencia y
distingue entre mayúsculas y minúsculas).
• Si el certificado aún no es válido, compruebe el reloj del sistema y, si es necesario, ajuste la zona
horaria del sistema o simplemente agregue un día del reloj para realizar una prueba rápida.
• La PKI puede fallar debido a un error de comprobación de revocación. Para confirmar esto,
deshabilite temporalmente la comprobación de revocación y compruebe si ICR fase 1 puede
completarse.
VÍNCULOS RELACIONADOS
in this section
Aplicables | 310
Automática | 314
Comproba | 325
En este ejemplo se muestra cómo mejorar la seguridad si se configuran dos elementos del mismo nivel
mediante el protocolo de estado de certificados en línea (OCSP) para comprobar el estado de revocación
de los certificados usados en las negociaciones de la fase 1 para el túnel VPN de IPsec.
Aplicables
En cada dispositivo:
• Obtenga e inscriba un certificado local. Esto se puede hacer manualmente o mediante el protocolo de
inscripción de certificados simple (SCEP).
• Configure políticas de seguridad que permitan el tráfico hacia y desde el dispositivo del mismo nivel.
Descripción general
in this section
Topología | 314
En ambos equipos del mismo nivel, una raíz de OCSP del perfil de una entidad de certificación (CA) se
configura con las siguientes opciones:
• Primero se utiliza OCSP para comprobar el estado de revocación de certificados. Si no hay respuesta
del servidor OCSP, la lista de revocación de certificados (CRL) se usa para comprobar el estado. La
dirección URL de la CRL es http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45.
, Peer A Peer B
, Peer A Peer B
Versi v2 v2
, Peer A Peer B
, Peer A Peer B
Topología
Figura 26 en la página 314muestra los dispositivos del mismo nivel que están configurados en este
ejemplo.
Automática
in this section
Para configurar rápidamente el par A de VPN para usar OCSP, copie los siguientes comandos, péguelos
en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con
315
su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese
desde el modo de editcommit configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en la Junos OS CLI usuario .
1. Configurar interfaces.
[edit interfaces]
set ge-0/0/3 gigether-options redundant-parent reth1
set ge-9/0/3 gigether-options redundant-parent reth1
set lo0 unit 0 family inet address 172.16.1.100/24
set lo0 redundant-pseudo-interface-options redundancy-group 1
set reth1 redundant-ether-options redundancy-group 1
set reth1 unit 0 family inet address 192.0.2.0/24
set st0 unit 1 family inet address 172.18.1.100/24
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security pki ca-
profile OCSP-ROOTescriba show security ikelos comandos show security ipsec ,, y. Si el resultado no
318
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@host# show interfaces
ge-0/0/3 {
gigether-options {
redundant-parent reth1;
}
}
ge-9/0/3 {
gigether-options {
redundant-parent reth1;
}
}
lo0 {
unit 0 {
family inet {
address 172.16.1.100/24;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.2.0/24;
}
}
}
st0 {
unit 1 {
family inet {
address 172.18.1.100/24;
}
}
}
319
[edit]
user@host# show security pki ca-profile OCSP-ROOT
ca-identity OCSP-ROOT;
enrollment {
url http://10.1.1.1:8080/scep/OCSP-ROOT/;
}
revocation-check {
crl {
url http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45;
}
ocsp {
disable-responder-revocation-check;
url http://10.157.88.56:8210/OCSP-ROOT/;
}
use-ocsp;
}
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_policy {
mode aggressive;
proposals ike_prop;
certificate {
local-certificate localcert1;
}
}
gateway jsr_gateway {
ike-policy ike_policy;
address 10.10.2.50;
remote-identity hostname localcert11.example.net;
external-interface reth1;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha1-96;
320
encryption-algorithm 3des-cbc;
lifetime-seconds 1200;
lifetime-kilobytes 150000;
}
policy ipsec_policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn test_vpn {
bind-interface st0.1;
ike {
gateway jsr_gateway;
ipsec-policy ipsec_policy;
}
}
Para configurar rápidamente el par B de VPN para usar OCSP, copie los siguientes comandos, péguelos
en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con
su configuración de red, copie y pegue los comandos en el CLI en el nivel de jerarquía [ ] y, luego, ingrese
desde el modo de editcommit configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en la Junos OS CLI usuario .
1. Configurar interfaces.
[edit interfaces]
set ge-0/0/2 unit 0 family inet address 198.51.100.0/24
set lo0 unit 0 family inet address 172.17.1.100/24
set st0 unit 1 family inet address 172.18.1.1/24
322
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security pki ca-
profile OCSP-ROOTescriba show security ikelos comandos show security ipsec ,, y. Si el resultado no
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@host# show interfaces
ge-0/0/2 {
unit 0 {
family inet {
address 198.51.100.0/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 172.17.1.100/24;
}
}
}
st0 {
unit 1 {
family inet {
address 172.18.1.1/24;
}
}
}
324
[edit]
user@host# show security pki ca-profile OCSP-ROOT
ca-identity OCSP-ROOT;
enrollment {
url http://10.1.1.1:8080/scep/OCSP-ROOT/;
}
revocation-check {
crl {
url http://10.1.1.1:8080/crl-as-der/currentcrl-45.crlid=45;
}
ocsp {
disable-responder-revocation-check;
url http://10.157.88.56:8210/OCSP-ROOT/;
}
use-ocsp;
}
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_policy {
mode aggressive;
proposals ike_prop;
certificate {
local-certificate localcert11;
}
}
gateway jsr_gateway {
ike-policy ike_policy;
address 192.0.2.50;
local-identity hostname localcert11.example.net;
external-interface ge-0/0/2.0;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha1-96;
325
encryption-algorithm 3des-cbc;
lifetime-seconds 1200;
lifetime-kilobytes 150000;
}
policy ipsec_policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn test_vpn {
bind-interface st0.1;
ike {
gateway jsr_gateway;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
Comproba
in this section
Comprobar certificados de CA
Purpose
Comprobar la validez de un certificado de entidad emisora en cada dispositivo del mismo nivel.
Intervención
Desde el modo funcional, escriba show security pki ca-certificate ca-profile OCSP-ROOT el show
security pki ca-certificate ca-profile OCSP-ROOT detail comando o.
ef:37:37:46:91:20:04:bc:a3:4a:44:a9:85:3b:50:33:76:45:d9:ba
26:3a:3b:0d:ff:82:40:36:64:4e:ea:6a:d8:9b:06:ff:3f:e2:c4:a6
76:ee:8b:58:56:a6:09:d3:4e:08:b0:64:60:75:f3:e2:06:91:64:73
d2:78:e9:7a:cb:8c:57:0e:d1:9a:6d:3a:4a:9e:5b:d9:e4:a2:ef:31
5d:2b:2b:53:ab:a1:ad:45:49:fd:a5:e0:8b:4e:0b:71:52:ca:6b:fa
8b:0e:2c:7c:7b:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Distribution CRL:
http://10.1.1.1:8080/crl-as-der/currentcrl-45.crl?id=45
Authority Information Access OCSP:
http://10.1.1.1:8090/OCSP-ROOT/
Use for key: CRL signing, Certificate signing, Key encipherment, Digital
signature
Fingerprint:
ed:ce:ec:13:1a:d2:ab:0a:76:e5:26:6d:2c:29:5d:49:90:57:f9:41 (sha1)
af:87:07:69:f0:3e:f7:c6:b8:2c:f8:df:0b:ae:b0:28 (md5)
En este ejemplo, las direcciones IP se utilizan en las direcciones URL de la configuración del perfil de la
entidad emisora. Si las direcciones IP no se utilizan AC certificados emitidos por AC certificados, el DNS
se debe configurar en la configuración del dispositivo. DNS debe poder resolver el host en las listas CRL
de distribución y en la dirección URL de la entidad emisora de certificados en la configuración del perfil
de entidad emisora. Además, debe contar con la posibilidad de acceder a la red al mismo host para
recibir comprobaciones de revocación.
Efectos
El resultado muestra los detalles y la validez del certificado de entidad emisora en cada interlocutor de la
siguiente manera:
• C— País.
• O—Organización.
Purpose
Intervención
En modo operativo, escriba el show security pki local-certificate certificate-id localcert1 detail
comando.
Efectos
El resultado muestra los detalles y la validez de un certificado local en cada interlocutor de la manera
siguiente:
• O—Organización.
• L— Localidad
• ST— Estado.
• C— País.
Purpose
Intervención
Efectos
Purpose
Intervención
Efectos
VÍNCULOS RELACIONADOS
in this section
Ejemplo Configuración de una VPN AutoKey de IPv6 ICR basada en políticas | 352
Juniper Networks admite ICR manual y Autokey con configuraciones de claves previamente compartidas
para IPv6 IPsec VPN.
Un túnel VPN de sitio a sitio basado en la ruta con una interfaz de túnel segura punto a punto puede
funcionar en los modos de túnel IPv4-in-IPv4, IPv6-in-IPv6, IPv6-in-IPv4 o IPv4-in-IPv6. Las direcciones
IPv6 pueden encontrarse en el encabezado IP externo, que representa el extremo del túnel, o en el
encabezado IP interior, que representa las direcciones finales de origen y destino de un paquete.
VPN de sitio a sitio Sí Solo se admite VPN de sitio a sitio, que es uno a
uno. No se admite la VPN de sitio a sitio de varios
a uno (NHTB). La configuración NHTB no se
puede confirmar para los modos de túnel que no
sean IPv4 en IPv4.
VPN de grupo No –
Enrutamiento dinámico de No –
multidifusión (PIM)
Enrutador virtual Sí –
Sistema lógico No –
Varias SPUs Sí –
335
BIA SNMP Sí –
Inserción de SPC Sí –
PIDIÓ Sí –
Nombre DNS como ICR dirección de Sí Al igual que con los túneles de IPv4, las
puerta de enlace direcciones de puerta de enlace del mismo nivel
en el nombre DNS no se admiten con túneles de
IPv6.
336
TDR-transversal (TDR-T) para los Sí TDR-T solo es compatible con los modos de túnel
interlocutores ICR de IPv4 IPv6-en-IPv4 e IPv4-en-IPv4 con IKEv1. No se
admiten los modos de túnel IPv6-in-IPv6 e IPv4-
in-IPv6. No se admite IKEv2 para TDR-T. No se
admite TDR-T de IPv6 a IPv4 ni de IPv4 a IPv6.
Dos pilas (túneles IPv4 e IPv6 paralelos) Sí Para VPN de sitio a sitio basadas en la ruta. Un
a través de una sola interfaz física túnel IPv4 único puede funcionar en los modos de
túnel IPv4-in-IPv4 e IPv6-in-IPv4 y un solo túnel
IPv6 puede funcionar en los modos de túnel IPv4-
in-IPv6 e IPv6-in-IPv6.
Fragmentación y remontaje Sí –
338
Tráfico de multidifusión No –
Firmas de ECDSA Sí –
SEE ALSO
in this section
Intercambio de claves por red (ICR) forma parte del conjunto IPsec de protocolos. Habilita
automáticamente dos extremos de túnel para configurar asociaciones de seguridad (SA) y negociar
claves secretas entre sí. No es necesario configurar manualmente los parámetros de seguridad. ICR
también proporciona autenticación para los elementos del mismo nivel que se comunican.
La carga de identificación de ISAKMP se utiliza para identificar y autenticar los interlocutores IPv6
que se comunican. Se habilitan dos tipos de ID (ID_IPV6_ADDR y ID_IPV6_ADDR_SUBNET) para
IPv6. El tipo de ID. indica el tipo de identificación que se va a utilizar. El tipo de ID_IPV6_ADDR
especifica una dirección IPv6 única de 16 octetos. Este tipo de identificador representa una dirección
IPv6. El tipo ID_IPV6_ADDR_SUBNET especifica un rango de direcciones IPv6 representadas por
valores de 2 16 octetos. Este tipo de identificador representa una máscara de red IPv6. Tabla 26 en la
página 340 enumera los tipos de identificador y sus valores asignados en la carga de identificación.
ID (tipo) Valor
Reservados 0
ID_IPV4_ADDR 1
ID_FQDN 2
ID_USER_FQDN 3
ID_IPV4_ADDR_SUBNET 4
ID_IPV6_ADDR 5
ID_IPV6_ADDR_SUBNET 6
341
ID (tipo) Valor
ID_IPV4_ADDR_RANGE 7
ID_IPV6_ADDR_RANGE 8
ID_DER_ASN1_DN 9
ID_DER_ASN1_GN 10
ID_KEY_ID 11
ID_LIST 12
• ID de proxy
Un ID de proxy se utiliza durante la fase 2 de ICR negociación. Se genera antes de que se establezca
un túnel IPsec. Un ID de proxy identifica la SA que se utilizará para la VPN. Se generan dos ID de
proxy: local y remoto. El ID de proxy local se refiere a las direcciones IPv4 o IPv6, red y máscara de
subred locales. El ID de proxy remoto hace referencia a las direcciones IPv4 o IPv6, red y máscara de
subred remotas.
• Asociación de seguridad
Una SA es un acuerdo entre los participantes de VPN para apoyar la comunicación segura. LasAS se
diferencian según tres parámetros: índice de parámetros de seguridad (SPI), dirección IPv6 de destino
y protocolo de seguridad (AH o ESP). El SPI es un valor único asignado a una SA para ayudar a
identificar una SA entre varias SA. En un paquete IPv6, la SA se identifica desde la dirección de
destino en el encabezado IPv6 externo y el protocolo de seguridad se identifica desde el encabezado
AH o el de ESP.
342
Después de completar ICR negociaciones y de que las dos puertas de enlace ICR han establecido una de
las SA de las fases 1 y 2, IPv6 IPsec emplea las tecnologías de autenticación y cifrado para proteger los
paquetes IPv6. Dado que las direcciones IPv6 tienen una longitud de 128 bits, en comparación con las
direcciones IPv4, que tienen una longitud de 32 bits, el procesamiento de paquetes IPsec IPv6 requiere
más recursos.
Los dispositivos con direccionamiento IPv6 no realizan fragmentación. Los hosts de IPv6 deben realizar
el descubrimiento de MTU de ruta o enviar paquetes más pequeños que el tamaño de MTU mínimo de
IPv6 de 1280 bytes.
Protocolo AH en IPv6
El protocolo AH proporciona integridad de datos y autenticación de datos para paquetes de IPv6. IPsec
IPv6 utiliza encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) que deben
organizarse de una manera determinada en el datagrama IPv6. En el modo de túnel AH, el encabezado
AH sigue inmediatamente al nuevo encabezado IPv6 externo, similar al que aparece en el modo de túnel
AH de IPv4. Los encabezados de extensión se colocan después del encabezado interno original. Por lo
tanto, en el modo de túnel AH, todo el paquete se encapsula mediante la adición de un nuevo
encabezado IPv6 externo, seguido de un encabezado de autenticación, un encabezado interno,
encabezados de extensión y el resto del datagrama Figura 27 en la página 342original, tal como se
muestra en la.
A diferencia de lo que ocurre con ESP, el algoritmo de autenticación de AH abarca tanto al encabezado
externo como a cualquier otro encabezado o opción de extensión.
El modo de túnel AH en serie SRX dispositivos no admite las opciones mutables de IPv4 ni los
encabezados de extensión mutables IPv6. Consulte Tabla 27 en la página 344la.
343
El protocolo ESP proporciona cifrado y autenticación para paquetes de IPv6. Dado que IPsec IPv6 utiliza
encabezados de extensión (por ejemplo, opciones salto a salto y enrutamiento) en el datagrama IPv6, la
diferencia más importante entre el modo de túnel IPv6 ESP y el modo de túnel IPv4 ESP radica en la
colocación de los encabezados de extensión en el diseño de paquetes. En el modo de túnel ESP, el
encabezado ESP sigue inmediatamente al nuevo encabezado IPv6 externo, similar al del modo de túnel
IPv4 ESP. Por lo tanto, en el modo de túnel ESP, todo el paquete se encapsula mediante la adición de un
nuevo encabezado IPv6 externo, seguido de un encabezado ESP, un encabezado interno, encabezados
de extensión y el resto del datagrama original Figura 28 en la página 343tal y como se muestra en.
Se pueden recibir paquetes IPsec con opciones IPv4 o encabezados de extensión de IPv6 para
decapsulation en dispositivos serie SRX. Tabla 27 en la página 344 muestra las opciones de IPv4 o los
encabezados de extensión de IPv6 que se admiten con el protocolo ESP o ah en los dispositivos serie
SRX. Si se recibe un paquete IPsec no compatible, se produce un error en el cálculo de ICV y se descarta
el paquete.
344
Puede calcular el AH ICV sobre los campos de encabezado de IPv6 que son inmutables en tránsito o
previsibles en el valor cuando llega en los extremos de túnel. También puede calcular el AH ICV sobre el
encabezado AH y los datos de protocolo de alto nivel (considerados inmutables durante la transmisión).
Puede calcular la ICV de ESP en todo el paquete IPv6, excluyendo el nuevo encabezado IPv6 externo y
los encabezados de extensión opcionales.
A diferencia de IPv4, IPv6 cuenta con un método para marcar opciones como mutables en el tránsito.
IPv6 los encabezados de extensión opcionales contienen un indicador que indica la mutabilidad. Este
indicador determina el procesamiento adecuado.
345
Las opciones variables de IPv4 y los encabezados de extensión de IPv6 no son compatibles con el
protocolo AH.
En el modo de túnel, las direcciones de origen y destino del encabezado IPv4 o IPv6 externo
representan los extremos del túnel, mientras que las direcciones de origen y de destino del encabezado
IPv4 o IPv6 interno representan las direcciones de origen y destino finales. Tabla 28 en la página 345
resume cómo se relaciona el encabezado IPv6 externo con el encabezado interno IPv6 o IPv4 para los
modos de túnel IPv6-en-IPv6 o IPv4-in-IPv6. En los campos de encabezado externos, "Constructed"
significa que el valor del campo de encabezado exterior se crea independientemente del valor del campo
de encabezado interno.
Tabla 28: Construcción de encabezado IPv6 para los modos de túnel IPv6-in-IPv6 e IPv4-in-IPv6
Tabla 28: Construcción de encabezado IPv6 para los modos de túnel IPv6-in-IPv6 e IPv4-in-IPv6
(Continued)
Tabla 29 en la página 346resume cómo se relaciona el encabezado IPv4 exterior con el encabezado
interno IPv6 o IPv4 para los modos de túnel IPv6-en-IPv4 o IPv4-en-IPv4. En los campos de encabezado
externos, "Constructed" significa que el valor del campo de encabezado exterior se crea
independientemente del valor del campo de encabezado interno.
Tabla 29: Construcción de encabezado IPv4 para los modos de túnel IPv6-en-IPv4 y IPv4-en-IPv4
Tabla 29: Construcción de encabezado IPv4 para los modos de túnel IPv6-en-IPv4 y IPv4-en-IPv4
(Continued)
Para el modo de túnel IPv6-en-IPv4, el bit No fragmentar (DF) está desactivado de forma
predeterminada. Si las df-bit set opciones df-bit copy o se configuran enedit security ipsec vpn vpn-
nameel nivel de jerarquía [] para el correspondiente VPN de IPv4, se establecerá el bit DF en el
encabezado de IPv4 exterior.
Para el modo de túnel IPv4 en IPv4, el bit DF del encabezado IPv4 exterior se basa en la df-bit opción
configurada para el encabezado IPv4 interno. Si df-bit no se configura para el encabezado IPv4 interno,
el bit DF se borra en el encabezado IPv4 exterior.
SEE ALSO
Juniper Networks admite ICR manual y Autokey con configuraciones de claves previamente compartidas
para IPv6 IPsec VPN.
• VPN manual: en una configuración VPN manual, las claves y asociaciones de seguridad (AS) secretos
se configuran manualmente en los puntos de conexión de túnel mediante el mecanismo de clave
348
manual. Para crear una VPN manual IPv6 IPsec, consulte el ejemplo: Configuración de una
VPNmanual de IPSec para IPv6.
• AUTOKey ICR VPN: en una configuración VPN de ICR autoKey, las claves y LAS secretos se crean
automáticamente mediante el mecanismo de ICR automático. Para configurar una VPN de clave
automática IPv6 ICR, se requieren dos fases de negociaciones: fase 1 y fase 2.
• Fase 1: en esta fase, los participantes establecen un canal seguro para negociar las SA de IPSec.
• Fase 2: en esta fase, los participantes negocian las SA de IPSec para autenticar y cifrar los
paquetes de datos IPv6.
Para obtener más información sobre las negociaciones de fase 1 y fase 2, consulte Intercambio de
claves por red
SEE ALSO
in this section
Aplicables | 348
Automática | 349
Comproba | 351
En este ejemplo se muestra cómo configurar una VPN manual de IPsec para IPv6.
Aplicables
Antes de empezar:
Descripción general
En una configuración VPN manual, las claves secretas se configuran manualmente en los dos extremos
de IPsec.
• Defina el protocolo IPsec. Seleccione el protocolo ESP porque la configuración incluye tanto la
autenticación como el cifrado.
Automática
in this section
Modalidades | 349
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security ipsec vpn vpn-sunnyvale manual authentication algorithm hmac-md5–96 key ascii-text
“$ABC123”
set security ipsec vpn vpn-sunnyvale manual encryption algorithm 3des-cbc key ascii-text “$ABC123”
350
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
6. Configurar un IRP.
Resultados
Desde el modo de configuración, escriba el show security ipsec vpn vpn-sunnyvale comando para
confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones
de configuración de este ejemplo para corregirlo.
[edit]
[user@host]show security ipsec vpn vpn-sunnyvale
manual {
gateway 2001:db8:1212::1112 ;
external-interface ge-0/0/14.0 ;
protocol esp ;
spi 12435 ;
authentication {
algorithm hmac-md5-96 ;
key ascii-text $ABC123” ;## SECRET DATA
}
encryption {
algorithm 3des-cbc ;
key ascii-text $ABC123”; ## SECRET DATA
}
}
Comproba
in this section
Purpose
Intervención
SEE ALSO
in this section
Aplicables | 352
Automática | 360
Comproba | 374
Este ejemplo muestra cómo configurar un IPv6 AutoKey ICR VPN basado en políticas para permitir que
los datos de IPv6 se transfieran de manera segura entre la sucursal y la oficina corporativa.
Las VPN basadas en directivas de IPv6 solo se admiten en dispositivos independientes SRX300,
SRX320, SRX340, SRX345 y SRX550HM.
Aplicables
Este ejemplo utiliza el siguiente hardware:
• Dispositivo SRX300
353
Antes de empezar:
• Comprender el ICR IPv6 y el procesamiento de paquetes IPsec. Consulte Descripción de la ICR IPv6 y
el procesamiento de paquetes IPSec.
Descripción general
En este ejemplo, se configura una VPN basada en políticas de IPv6 ICR para una sucursal de Chicago,
Illinois, ya que no es necesario conservar los recursos de túnel ni configurar muchas políticas de
seguridad para filtrar el tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red
privada virtual para conectarse con sus sedes empresariales en Sunnyvale, California.
354
Figura 29 en la página 355muestra un ejemplo de una topología VPN de ICR IPv6 basada en políticas. En
esta topología, un dispositivo serie SRX se encuentra en Sunnyvale y otro dispositivo serie SRX (puede
ser un segundo dispositivo serie SRX o un dispositivo de otro fabricante) se encuentra en Chicago.
355
En este ejemplo, puede configurar interfaces, una ruta IPv6 predeterminada, zonas de seguridad y
libretas de direcciones. A continuación, configure ICR fase 1, IPsec Phase 2, una directiva de seguridad y
los parámetros TCP-MSS. Consulte Tabla 30 en la página 356 a Tabla 34 en la página 359través de.
356
ge-0/0/15.0 2001:db8:0:4::/64
• PF Diffie-Hellman grupo2
358
• destino de la dirección de
Chicago
• aplicación cualquier
• Sunnyvale de dirección de
destino
• aplicación cualquier
Purpose Parámetros de
configuración
TCP-MSS se negocia como parte del Protocolo de enlace de TCP de tres vías y Valor MSS: 1350
limita el tamaño máximo de un segmento TCP para ajustarse mejor a los límites
de MTU en una red. Esto es especialmente importante para el tráfico VPN, ya
que la sobrecarga de encapsulación IPsec, junto con la sobrecarga de IP y Frame,
puede hacer que el paquete ESP resultante supere la MTU de la interfaz física,
causando así la fragmentación. La fragmentación da como resultado un uso más
elevado de los recursos de dispositivos y ancho de banda.
Se recomienda el valor 1350 como punto de partida para la mayoría de las redes
basadas en Ethernet con una MTU de 1500 o superior. Es posible que necesite
experimentar con distintos valores de TCP-MSS para obtener un rendimiento
óptimo. Por ejemplo, es posible que necesite cambiar el valor si algún dispositivo
de la ruta de acceso tiene una MTU baja o si hay alguna sobrecarga adicional,
como PPP o Frame Relay.
360
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set interfaces ge-0/0/14 unit 0 family inet6 address 2001:db8:1:1::/64
user@host# set interfaces ge-0/0/15 unit 0 family inet6 address 2001:db8:0:4::/64
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop 1.1.1.1
[edit]
user@host# edit security zones security-zone untrust
5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit]
user@host# edit security zones security-zone trust
8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@host# show interfaces
363
ge-0/0/14 {
unit 0 {
family inet6 {
address 2001:db8:1:1::/64;
}
}
}
ge-0/0/15 {
unit 0 {
family inet6 {
address 2001:db8:0:4::/64;
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 1.1.1.1;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/15.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
364
ge-0/0/14.0;
}
}
[edit]
user@host# show security address-book
book1 {
address sunnyvale 2001:db8:1:2::/64;
attach {
zone trust;
}
}
book2 {
address chicago 2001:db8:0:1::/64;
attach {
zone untrust;
}
}
Configurar ICR
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@host# show security ike
proposal ipv6-ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ipv6-ike-phase1-policy {
mode ;
proposals ipv6-ike-phase1-proposal;
pre-shared-key ascii-text "$9$jrHP5QFn/ApPfBIEhr1Yg4aDik.P5z3Dj9Apu1I7—
dbgoJGD"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ipv6-ike-phase1-policy;
address 2001:db8:0:3::;
external-interface ge-0/0/15.0;
}
Configuración de IPsec
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security ipsec proposal ipv6-ipsec-phase2-proposal
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ipsec
proposal ipv6-ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipv6-ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
370
proposals ipv6-ipsec-phase2-proposal;
}
vpn ipv6-ike-vpn-chicago {
ike {
gateway gw-chicago;
ipsec-policy ipv6-ipsec-phase2-policy;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr match source-address sunnyvale
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr match destination-address
chicago
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr match application any
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr then permit tunnel ipsec-vpn
ipv6-ike-vpn-chicago
set security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr then permit tunnel pair-policy
ipv6-vpn-untr-tr
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr match source-address chicago
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr match destination-address
sunnyvale
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr match application any
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr then permit tunnel ipsec-vpn
ipv6-ike-vpn-chicago
set security policies from-zone untrust to-zone trust policy ipv6-vpn-untr-tr then permit tunnel pair-policy
ipv6-vpn-tr-untr
set security policies from-zone trust to-zone untrust policy permit-any match source-address any
set security policies from-zone trust to-zone untrust policy permit-any match destination-address any
set security policies from-zone trust to-zone untrust policy permit-any match application any
371
set security policies from-zone trust to-zone untrust policy permit-any then permit
insert security policies from-zone trust to-zone untrust policy ipv6-vpn-tr-untr before policy permit-any
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no
confianza.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de
confianza.
3. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no
confianza.
4. Reordenar las políticas de seguridad para que la Directiva de seguridad de VPN-TR-untr esté situada
por encima de la Directiva permit-any Security.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy ipv6-vpn-tr-untr {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ipv6-ike-vpn-chicago;
pair-policy ipv6-vpn-untr-tr;
}
}
}
}
policy permit-any {
match {
source-address any;
destination-address any;
application any;
}
373
then {
permit
}
}
}
from-zone untrust to-zone trust {
policy ipv6-vpn-untr-tr {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ipv6-ike-vpn-chicago;
pair-policy ipv6-vpn-tr-untr;
}
}
}
}
}
Configurar TCP-MSS
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
[edit]
user@host# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Comproba
in this section
Purpose
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en Sunnyvale a un host de
Chicago. En el caso de las VPN basadas en políticas, un host independiente debe generar el tráfico; el
tráfico iniciado desde el dispositivo serie SRX no coincidirá con la directiva VPN. Recomendamos que el
tráfico de prueba sea de un dispositivo independiente en un extremo de la VPN a otro dispositivo del
otro extremo de la VPN. Por ejemplo, inicie ping desde 2001: db8:1: 2::/64 a 2001: db8:0: 1::/64.
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las asociaciones de seguridad (SA)
activas de ICR fase 1. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la fase
1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index index_number detail más información acerca de la SA.
• Estado
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
El show security ike security-associations index 5 detail comando enumera la información adicional
acerca de la Asociación de seguridad con un número de índice de 5:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
, VPN Monitoring: -
Hard lifetime: Expires in 3440 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2813 seconds
Mode: tunnel, Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El número de identificación es 2. Utilice este valor con el show security ipsec security-associations
index comando para obtener más información acerca de esta SA en particular.
• Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido
TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 3597/unlim indica que la duración de la fase 2 caduca en 3597 segundos y que
no se ha especificado ningún LifeSize, lo que indica que la duración es ilimitada. La vigencia de la fase
2 puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN
está activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
la supervisión de VPN está habilitada, se enumeran U (arriba) o D (abajo).
La salida del show security ipsec security-associations index 2 detail comando muestra la siguiente
información:
Una de las causas más frecuentes de un error de fase 2 es que no coincidan los IDENTIFICADOres
de proxy. Para las VPN basadas en políticas, el ID del proxy se deriva de la Directiva de seguridad. Las
direcciones local y remota se derivan de las entradas de la libreta de direcciones, y el servicio se
deriva de la aplicación configurada para la Directiva. Si la fase 2 falla debido a un ID de proxy, puede
utilizar la Directiva para confirmar qué entradas de la libreta de direcciones están configuradas.
Compruebe que las direcciones coinciden con la información enviada. Compruebe el servicio para
asegurarse de que los puertos coinciden con la información enviada.
Para algunos proveedores distintos, el ID de proxy debe especificarse manualmente para que
coincidan.
379
SEE ALSO
VÍNCULOS RELACIONADOS
in this section
Una VPN basada en rutas es una configuración en la que una ruta que determina qué tráfico se envía a
través de una dirección IP de destino hace referencia a un túnel VPN de IPsec creado entre dos puntos
finales.
Con las VPN basadas en la ruta, puede configurar docenas de políticas de seguridad para regular el
tráfico que fluye a través de un túnel único de VPN entre dos sitios, y solo hay un conjunto de ICR y
asociaciones de seguridad IPsec en el trabajo. A diferencia de las VPN basadas en políticas, para las VPN
basadas en la ruta, una directiva se refiere a una dirección de destino y no a un túnel VPN. Cuando
Junos OS busca una ruta para encontrar la interfaz que se utilizará para enviar tráfico a la dirección de
destino del paquete, encuentra una ruta a través de una interfaz de túnel seguro (st0. x). La interfaz de
túnel está enlazada a un túnel de VPN específico y el tráfico se enruta al túnel si la acción de la directiva
lo permite.
Una interfaz de túnel seguro (st0) solo admite una dirección IPv4 y una dirección IPv6 al mismo tiempo.
Esto se aplica a todas las VPN basadas en rutas. La disable opción no se admite en interfaces st0.
• En la red se utiliza una topología VPN de concentrador y periferia, y se requiere tráfico de radio a
radio.
• Un protocolo de enrutamiento dinámico (por ejemplo, OSPF, RIP o BGP) se ejecuta a través de la
VPN.
Recomendamos que utilice VPN basado en la ruta cuando desee configurar VPN entre varios sitios
remotos. VPN basado en la ruta permite enrutar entre los radios entre varios sitios remotos; es más fácil
de configurar, supervisar y solucionar problemas.
SEE ALSO
in this section
Aplicables | 382
Automática | 387
Comproba | 401
En este ejemplo se muestra cómo configurar una VPN basada en enrutamiento IPsec para permitir que
los datos se transfieran de manera segura entre una sucursal y la oficina corporativa.
Aplicables
Este ejemplo utiliza el siguiente hardware:
• Dispositivo SSG140
Descripción general
383
En este ejemplo, puede configurar una VPN basada en rutas para una sucursal de Chicago, ya que desea
conservar los recursos de túnel, pero seguir conteniendo restricciones granulares en el tráfico VPN. Los
usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes
empresariales en Sunnyvale, California.
Figura 30 en la página 383muestra un ejemplo de una topología VPN basada en rutas. En esta topología,
los dispositivos serie SRX se encuentran en Sunnyvale, y un dispositivo serie SSG (o un dispositivo de
terceros) se encuentra en Chicago.
En este ejemplo, puede configurar las interfaces, una ruta predeterminada IPv4, las zonas de seguridad y
las libretas de direcciones. A continuación, configure ICR, IPsec, la Directiva de seguridad y los
384
parámetros TCP-MSS. Consulte Tabla 35 en la página 384 a Tabla 39 en la página 387 través de los
parámetros de configuración específicos que se utilizan en este ejemplo.
Tabla 35: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones
ge-0/0/1.0 10.1.1.2/30
• PF Diffie-Hellman grupo2
386
• aplicación ICR
• Intervención estancia
• aplicación ICR
• Intervención estancia
387
Automática
in this section
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para configurar información de interfaz, ruta estática, zona de seguridad y libreta de direcciones:
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24
user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.2/30
user@host# set interfaces st0 unit 0 family inet address 10.10.11.10/24
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop st0.0
389
[edit]
user@host# edit security zones security-zone trust
[edit]
user@host# edit security zones security-zone vpn
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba show security zoneslos comandos show security address-book ,, y. Si el resultado no
390
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.1.1.2/30;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.11.10/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
391
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
Configurar ICR
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike-policy {
mode main;
proposals ike-proposal;
pre-shared-key ascii-text "$ABC123";
}
gateway gw-sunnyvale {
ike-policy ike-policy;
address 10.2.2.2;
external-interface ge-0/0/1.0;
version v1-only;
}
Configuración de IPsec
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
395
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security ipsec traceoptions flag all
[edit]
user@host# set security ipsec proposal ipsec_prop
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ipsec
traceoptions {
flag all;
}
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256;
encryption-algorithm aes256-cbc;
}
proposal ipsec_prop;
policy ipsec_pol {
proposals ipsec_prop;
}
vpn ipsec_vpn1 {
bind-interface st0.0;
ike {
gateway gw_sunnyvale;
ipsec-policy ipsec_pol;
}
}
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
set security policies from-zone trust to-zone vpn policy vpn match source-address sunnyvale
set security policies from-zone trust to-zone vpn policy vpn match destination-address chicago
398
set security policies from-zone trust to-zone vpn policy vpn match application any
set security policies from-zone trust to-zone vpn policy vpn then permit
set security policies from-zone vpn to-zone trust policy vpn match source-address chicago
set security policies from-zone vpn to-zone trust policy vpn match destination-address sunnyvale
set security policies from-zone vpn to-zone trust policy vpn match application any
set security policies from-zone vpn to-zone trust policy vpn then permit
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security policies
399
Configurar TCP-MSS
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más
información acerca de cómo configurar dispositivos serie SSG, consulte la Guía de referencia de
Conceptos y ejemplos de ScreenOS,que se encuentra en http://www.juniper.net/techpubs.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
401
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
Comproba
in this section
Revisar las estadísticas y los errores de una asociación de seguridad IPsec | 406
Purpose
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.0.2.10/24 a
un host en la red 198.51.100.10/24. En el caso de las VPN basadas en la ruta, el tráfico puede ser
iniciado por el dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles
de IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN
hacia un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie un ping de 192.0.2.10 a
198.51.100.10.
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las sa activas ICR. Si no se enumera
ninguna SA, hubo un problema con ICR establecimiento. Compruebe los parámetros de directiva ICR y
las opciones de configuración de interfaz externa de su configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Estado
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
El show security ike security-associations index 1 detail comando enumera la información adicional
acerca de la Asociación de seguridad con el número de índice 1:
• cesiones
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
• Información de funciones
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El número de identificación es 16384. Utilice este valor con el show security ipsec security-
associations index comando para obtener más información acerca de esta SA en particular.
• Existe un par IPsec SA con el puerto 500, lo que indica que no se ha implementado ningún recorrido
TDR. (TDR-recorrido utiliza el puerto 4500 u otro puerto aleatorio de número alto.)
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 3363/unlim indica que la duración caduca en 3363 segundos y que no se ha
especificado ningún LifeSize, lo que indica que es ilimitada. La duración puede diferir de la duración,
ya que IPsec no depende de ICR después de que la VPN esté activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
La salida del show security ipsec security-associations index 16384 detail comando muestra la siguiente
información:
Una de las causas más comunes de un error de IPsec es que no coincide el identificador de proxy. Si
no aparece ninguna asociación de IPsec, confirme que las propuestas de IPsec, incluida la
configuración del ID de proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta,
el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden
producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este
caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos
proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.
• Otra causa común de un error de IPsec no es especificar el enlace de la interfaz ST. Si IPsec no puede
completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.
406
Purpose
Revisar los contadores ESP y los encabezados de autenticación, así como los errores de una asociación
de seguridad IPsec.
Intervención
Desde el modo operativo, escriba show security ipsec statistics index index_number el comando
utilizando el número de índice de la VPN cuyas estadísticas desea ver.
También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los
errores de todas las SA.
Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.
Efectos
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics
comando show security ipsec statistics detail o varias veces para confirmar que los contadores de
paquetes cifrados y descifrados se incrementan. También debe comprobar si el resto de los contadores
de errores se están incrementando.
407
Purpose
Intervención
Puede utilizar el ping comando del dispositivo de serie SRX para probar el flujo de tráfico en el PC de un
host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y
se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de la Directiva.
Efectos
Si el ping comando no funciona desde el dispositivo de la serie serie SRX o SSG, es posible que exista un
problema con el enrutamiento, las directivas de seguridad, el host final o el cifrado y descifrado de los
paquetes ESP.
SEE ALSO
VÍNCULOS RELACIONADOS
in this section
Ejemplo Configurando el serie SRX para el aprovisionamiento pico de celda con carga de configuración
IKEv2 | 435
Intercambio de claves por red versión 2 (IKEv2) es un protocolo de túnel basado en IPsec que
proporciona un canal de comunicación VPN seguro entre dispositivos VPN del mismo nivel y define la
negociación y autenticación para las asociaciones de seguridad IPsec (SA) de manera protegida.
409
in this section
Aplicables | 409
Automática | 414
Comproba | 429
En este ejemplo se muestra cómo configurar una VPN basada en enrutamiento IPsec para permitir que
los datos se transfieran de manera segura entre una sucursal y una oficina corporativa.
Aplicables
Este ejemplo utiliza el siguiente hardware:
• Dispositivo SRX240
• Dispositivo SSG140
Descripción general
En este ejemplo, puede configurar una VPN basada en ruta para una sucursal de Chicago, Illinois, ya que
desea conservar los recursos de túnel pero aún así obtener restricciones granulares sobre el tráfico VPN.
Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes
empresariales en Sunnyvale, California.
En este ejemplo, puede configurar las interfaces, una ruta predeterminada IPv4, las zonas de seguridad y
las libretas de direcciones. A continuación, configure ICR fase 1, IPsec Phase 2, una directiva de
seguridad y los parámetros TCP-MSS. Consulte Tabla 40 en la página 410 a Tabla 44 en la página 413
través de los parámetros de configuración específicos que se utilizan en este ejemplo.
410
Tabla 40: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones
ge-0/0/3.0 10.1.1.2/30
Tabla 40: Información de interfaz, ruta estática, zona de seguridad y libreta de direcciones (Continued)
• PF Diffie-Hellman grupo2
• aplicación cualquier
• Intervención estancia
413
• aplicación cualquier
• Intervención estancia
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para configurar información de interfaz, ruta estática, zona de seguridad y libreta de direcciones:
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30
user@host# set interfaces st0 unit 0 family inet address 10.11.11.10/24
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
user@host# set routing-options static route 192.168.168.0/24 next-hop st0.0
[edit ]
user@host# edit security zones security-zone untrust
[edit]
user@host# edit security zones security-zone trust
8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
[edit]
user@host# edit security zones security-zone vpn-chicago
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show
security zones para confirmar la configuración. Si el resultado no muestra la configuración deseada,
repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
418
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
address-book {
address sunnyvale 192.168.10.0/24;
}
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
address-book {
address chicago 192.168.168.0/24;
}
}
interfaces {
st0.0;
}
}
Configurar ICR
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
419
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@host# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
version v2-only;
}
Configuración de IPsec
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security ipsec proposal ipsec-phase2-proposal
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn ipsec-vpn-chicago {
bind-interface st0.0;
ike {
gateway gw-chicago;
ipsec-policy ipsec-phase2-policy;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
425
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match source-address sunnyvale
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match destination-address
chicago
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi match application any
set security policies from-zone trust to-zone vpn-chicago policy vpn-tr-chi then permit
set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match source-address chicago
set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match destination-address
sunnyvale
set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr match application any
set security policies from-zone vpn-chicago to-zone trust policy vpn-chi-tr then permit
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Crear la Directiva de seguridad para permitir el tráfico desde la zona de confianza hacia la zona VPN-
Chicago.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN-Chicago a la zona de
confianza.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security policies
from-zone trust to-zone vpn-chicago {
policy vpn-tr-vpn {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit;
}
}
}
from-zone vpn-chicago to-zone trust {
policy vpn-tr-vpn {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit;
}
}
}
Configurar TCP-MSS
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
427
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security flow tcp-mss ipsec-vpn mss 1350
Resultados
Desde el modo de configuración, escriba el show security flow comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Como referencia, se proporciona la configuración del dispositivo serie SSG. Para obtener más
información sobre cómo configurar dispositivos serie SSG, consulte la Guía de referencia de Concepts &
Examples ScreenOS,que se encuentra en la https://www.juniper.net/documentation.
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
Comproba
in this section
Revisar las estadísticas y los errores de una asociación de seguridad IPsec | 433
Purpose
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host en la red 192.168.10/24 a
un host en la red 192.168.168/24. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado
por el dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de
IPsec, el tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia
un segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie un ping de 192.168.10.10 a
192.168.168.10.
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Estado
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR).
El show security ike security-associations index 1 detail comando muestra información adicional acerca
de la SA con un número de índice 1:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
• Información de funciones
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
Version: IKEv2
DF-bit: clear
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El número de identificación es 16384. Utilice este valor con el show security ipsec security-
associations index comando para obtener más información acerca de esta SA en particular.
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 3363/unlim indica que la duración de la fase 2 caduca en 3363 segundos y que
no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede
diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
• IKEv2 permite conexiones desde un sistema del mismo nivel de la versión 2 y iniciará una
negociación de la versión 2.
La salida del show security ipsec security-associations index 16384 detail comando muestra la siguiente
información:
433
Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si
no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la
configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta,
el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden
producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este
caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos
proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.
• Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede
completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.
Purpose
Revisar los contadores ESP y los encabezados de autenticación, así como los errores de IPsec SA.
Intervención
Desde el modo operativo, escriba show security ipsec statistics index index_number el comando
utilizando el número de índice de la VPN cuyas estadísticas desea ver.
También puede utilizar el show security ipsec statistics comando para revisar las estadísticas y los
errores de todas las SA.
434
Para borrar todas las estadísticas de IPsec, clear security ipsec statistics utilice el comando.
Efectos
Si ve problemas de pérdida de paquetes en una VPN, puede ejecutar el show security ipsec statistics
comando show security ipsec statistics detail o varias veces para confirmar que los contadores de
paquetes cifrados y descifrados se incrementan. También debe comprobar que el resto de los
contadores de errores se incrementan.
Purpose
Intervención
Puede utilizar el ping comando del dispositivo de serie SRX para probar el flujo de tráfico en el PC de un
host remoto. Asegúrese de especificar la interfaz de origen para que la búsqueda de ruta sea correcta y
se haga referencia a las zonas de seguridad adecuadas durante la búsqueda de la Directiva.
ethernet0/6
!!!!!
Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
Efectos
Si el ping comando no funciona desde el dispositivo de la serie serie SRX o SSG, es posible que exista un
problema con el enrutamiento, las directivas de seguridad, el host final o el cifrado y descifrado de los
paquetes ESP.
SEE ALSO
in this section
Aplicables | 436
Automática | 442
Comproba | 463
En las redes en las que se están distribuyendo varios dispositivos, es necesario que la administración de
la red sea sencilla. La característica de carga de configuración de IKEv2 es compatible con el
aprovisionamiento de estos dispositivos sin tocar ni la configuración del dispositivo ni la serie SRX. En
este ejemplo se muestra cómo configurar un serie SRX para admitir el aprovisionamiento de celda pico
mediante la característica de carga de configuración de IKEv2.
436
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Descripción general
En este ejemplo, un serie SRX usa la característica de carga de configuración de IKEv2 para propagar la
información de aprovisionamiento a una serie de celdas de pico. Las celdas de pico se envían desde la
fábrica con una configuración estándar que les permite conectarse al serie SRX, pero la información de
aprovisionamiento de celdas de pico se almacena en un servidor RADIUS externo. Las celdas pico
reciben información de aprovisionamiento completa después de establecer conexiones seguras con
servidores de aprovisionamiento en una red protegida. La característica de carga de configuración de
IKEv2 solo se admite para IPv4.
Figura 31 en la página 436 muestra una topología en la que la serie SRX admite el aprovisionamiento de
celdas pico mediante la función de carga de configuración IKEv2.
Figura 31: serie SRX compatibilidad con el aprovisionamiento de celdas pico con la carga de
configuración IKEv2
Cada celda pico de esta topología inicia dos VPN de IPsec: uno para la administración y otro para los
datos. En este ejemplo, el tráfico de administración usa el túnel etiquetado mantenimiento seguros
437
Tunnel, mientras que el tráfico de datos fluye a través del túnel identificado como un túnel 3GPP. Cada
túnel admite conexiones con servidores de aprovisionamiento de mantenimiento seguros y 3GPP en
redes distintas y configurables, que requieren distintas instancias de encaminamiento y VPN. Este
ejemplo proporciona las opciones ICR Phase 1 y Phase 2 para establecer las VPN mantenimiento
seguros y 3GPP.
En este ejemplo, el serie SRX actúa como el servidor de carga de configuración IKEv2, adquiriendo el
aprovisionamiento de la información del servidor RADIUS y proporcionando esa información a los
clientes de celda pico. El serie SRX devuelve la información de aprovisionamiento de cada cliente
autorizado en la carga de configuración IKEv2 durante la negociación de túnel. No se puede usar el serie
SRX como dispositivo cliente.
Además, el serie SRX usa la información de carga de configuración de IKEv2 para actualizar el iniciador
del selector de tráfico (TSr) y los valores del respondedor del selector de tráfico intercambiados con el
cliente durante la negociación del túnel. La carga de configuración utiliza la ETI y los valores TSr que se
configuran en proxy-identity el serie SRX mediante laedit security ipsec vpn vpn-name ikeinstrucción
en el nivel de jerarquía []. Los valores de la ETI y los TSr definen el tráfico de red de cada VPN.
El enrutador intermedio enruta el tráfico de celdas pico a las interfaces correspondientes del serie SRX.
1. La celda pico inicia un túnel IPsec con el serie SRX utilizando la configuración de fábrica.
3. Después de autorizar al cliente, el servidor de RADIUS responderá a la serie SRX con la información
de aprovisionamiento del cliente:
La característica de carga de configuración de IKEv2 solo se admite para interfaces de túnel seguro
punto a multipunto (st0). Para interfaces de punto a multipunto, las interfaces deben estar numeradas
y las direcciones que se proporcionan en la carga de configuración deben estar dentro del rango de
subred de la interfaz de punto a multipunto asociada.
Tabla 45 en la página 438 muestra las opciones de fase 1 y fase 2 configuradas en la serie SRX, incluida
la información para establecer túneles OAM y 3GPP.
, Valor
ICR propuesta:
, Valor
Directiva de ICR:
, Valor
Propuesta de IPsec:
Protocolo SENSORIAL
Directiva IPsec:
, Valor
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
2. Configurar interfaces.
[edit interfaces]
user@host# set ge-3/0/0 gigether-options redundant-parent reth0
user@host# set ge-3/0/1 gigether-options redundant-parent reth1
user@host# set ge-3/2/0 gigether-options redundant-parent reth2
user@host# set ge-3/2/1 gigether-options redundant-parent reth3
user@host# set ge-8/0/0 gigether-options redundant-parent reth0
user@host# set ge-8/0/1 gigether-options redundant-parent reth1
user@host# set ge-8/2/0 gigether-options redundant-parent reth2
user@host# set ge-8/2/1 gigether-options redundant-parent reth3
user@host# set reth0 redundant-ether-options redundancy-group 1
user@host# set reth0 unit 0 family inet address 2.2.2.1/24
user@host# set reth1 redundant-ether-options redundancy-group 1
446
[edit routing-options]
user@host# set static route 1.1.0.0/16 next-hop 2.2.2.253
user@host# set static route 5.5.0.0/16 next-hop 2.2.2.253
Resultados
[edit]
user@host# show chassis cluster
reth-count 5
node 0
node 1
redundancy-group 0{
node 0 priority 250;
node 1 priority 150;
redundancy-group 1 {
node 0 priority 220;
node 1 priority 149;
interface-monitor {
ge-3/0/0 weight 255;
ge-8/0/0 weight 255;
ge-3/0/1 weight 255;
ge-8/0/1 weight 255;
ge-3/2/0 weight 255;
ge-8/2/0 weight 255;
ge-3/2/1 weight 255;
ge-8/2/1 weight 255;
}
}
[edit]
user@host# show interfaces
ge-3/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-3/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-3/2/0 {
gigether-options {
redundant-parent reth2;
}
}
450
ge-3/2/1 {
gigether-options {
redundant-parent reth3;
}
}
ge-8/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/2/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-8/2/1 {
gigether-options {
redundant-parent reth3;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 2.2.2.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 3.3.3.1/24;
}
451
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.2.20/24;
}
}
}
reth3 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.169.2.20/24;
}
}
}
st0 {
unit 0{
multipoint;
family inet {
address 12.12.1.20/24;
}
}
unit 1{
multipoint;
family inet {
address 13.13.1.20/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 1.1.0.0/16 next-hop 2.2.2.253;
route 5.5.0.0/16 next-hop 2.2.2.253;
}
[edit]
452
[edit]
user@host# show access profile radius_pico
authentication-order radius;
radius-server {
192.168.2.22 {
secret "$ABC123";
routing-instance VR-OAM;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate example_SRX;
}
}
gateway OAM_GW {
ike-policy IKE_POL;
dynamic {
hostname .pico_cell.net;
ike-user-type group-ike-id;
}
local-identity hostname srx_series.example.net;
external-interface reth0.0;
aaa access-profile radius_pico;
version v2-only;
}
gateway 3GPP_GW {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=pico_cell;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
454
external-interface reth1.0;
aaa access-profile radius_pico;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
lifetime-seconds 300;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn OAM_VPN {
bind-interface st0.0;
ike {
gateway OAM_GW;
proxy-identity {
local 192.168.2.0/24;
remote 0.0.0.0/0;
}
ipsec-policy IPSEC_POL;
}
}
vpn 3GPP_VPN {
bind-interface st0.1;
ike {
gateway 3GPP_GW;
proxy-identity {
local 192.169.2.0/24;
remote 0.0.0.0/0;
}
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show routing-instances
VR-OAM {
455
instance-type virtual-router;
interface reth2.0;
interface st0.0;
}
VR-3GPP {
instance-type virtual-router;
interface reth3.0;
interface st0.1;
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.253/24
user@host# set ge-0/0/2 unit 0 family inet address 5.5.5.253/24
user@host# set ge-0/0/14 unit 0 family inet address 3.3.3.253/24
user@host# set ge-0/0/15 unit 0 family inet address 2.2.2.253/24
[edit routing-options]
user@host# set static route 192.169.2.0/24 next-hop 2.2.2.1
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba show security zoneslos comandos show security policies ,, y. Si el resultado no muestra
la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.253/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 5.5.5.253/24;
}
}
}
ge-0/0/14 {
unit 0 {
family inet {
address 3.3.3.253/24;
}
}
}
ge-0/0/15 {
unit 0 {
family inet {
address 2.2.2.253/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.169.2.0/24 next-hop 2.2.2.1;
}
[edit]
458
Las celdas pico de este ejemplo utilizan strongSwan software de código abierto para conexiones VPN
basadas en IPsec. Esta información la usa el serie SRX para el aprovisionamiento de celda pico mediante
la característica de carga de configuración de IKEv2. En las redes en las que se implementan varios
dispositivos, la configuración de celda pico puede ser idéntica, salvo en el caso de la información de
certificado (leftcert) e identidad (leftid). Las siguientes configuraciones de ejemplo muestran la
configuración de fábrica.
conn %default
ikelifetime=8h
keylife=1h
rekeymargin=1m
keyingtries=1
keyexchange=ikev2
authby=pubkey
mobike=no
conn oam
left=%any
leftsourceip=%config
leftcert=/usr/local/etc/ipsec.d/certs/<cert_name>
leftid=pico1.pico_cell.net
leftfirewall=yes
reauth=yes
right=2.2.2.1/24
460
rightid=srx_series.example.net
rightsubnet=0.0.0.0/0 #peer net for proxy id
ike=aes256-sha-modp1536!
esp=aes256-sha-modp1536!
auto=add
conn 3gpp
left=%any
leftsourceip=%config
leftcert=/usr/local/etc/ipsec.d/certs/<cert_name>
leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico1”
leftfirewall=yes
reauth=yes
right=3.3.3.1/24
rightid=”OU=srx_series”
rightsubnet=0.0.0.0/0 #peer net for proxy id
ike=aes256-sha-modp1536!
esp=aes256-sha-modp1536!
auto=add
conn %default
ikelifetime=8h
keylife=1h
rekeymargin=1m
keyingtries=1
keyexchange=ikev2
authby=pubkey
mobike=no
conn oam
left=%any
leftsourceip=%config
leftcert=/usr/local/etc/ipsec.d/certs/<cert_name>
leftid=pico2.pico_cell.net
leftfirewall=yes
#reauth=no
right=2.2.2.1/24
rightid=srx_series.example.net
461
conn 3gpp
left=%any
leftsourceip=%config
leftcert=/usr/local/etc/ipsec.d/certs/<cert_name>
leftid=”C=US, ST=CA, L=Sunnyvale, O=org, OU=pico_cell, CN=pico2”
leftfirewall=yes
#reauth=no
right=3.3.3.1/24
rightid=”OU=srx_series”
rightsubnet=0.0.0.0/0 #peer net for proxy id
ike=aes256-sha-modp1536!
esp=aes256-sha-modp1536!
auto=add
La información del servidor RADIUS se proporciona para referencia en este ejemplo. La información
completa RADIUS configuración del servidor queda fuera del alcance de este documento. El servidor
RADIUS devolverá la siguiente información a serie SRX:
• Dirección IP entramada
En este ejemplo, el servidor de RADIUS tiene información de aprovisionamiento independiente para las
conexiones mantenimiento seguros y 3GPP. El nombre de usuario se toma de la información del
certificado del cliente proporcionada en el serie SRX solicitud de autorización.
El canal de comunicación entre el dispositivo serie SRX y el servidor RADIUS está protegido por un
RADIUS secreto compartido.
1. Revise la configuración RADIUS para la VPN de pico 1 mantenimiento seguros. El servidor RADIUS
tiene la siguiente información:
2. Revise la configuración del RADIUS para la VPN 3GPP pico 1. El servidor RADIUS tiene la siguiente
información:
Framed-IP-Address = 13.13.1.201.10,
Framed-IP-Netmask = 255.255.0.0,
Primary-Dns = 192.168.2.104,
Secondary-Dns = 192.168.2.106,
En este caso, el servidor RADIUS proporciona un valor de máscara de subred (255.255.0.0), lo que
permite el tráfico dentro del mismo nivel.
A partir de Junos OS versión 20.1R1, puede configurar una contraseña común para las solicitudes de
carga de configuración IKEv2 para una configuración ICR puerta de enlace. La contraseña común en
un intervalo de 1 a 128 caracteres permite al administrador definir una contraseña común. Esta
contraseña se utiliza entre el dispositivo serie SRX y el servidor RADIUS cuando el dispositivo serie
SRX que solicita una dirección IP en nombre de un par IPsec remoto mediante carga de configuración
IKEv2. RADIUS servidor coincide con los credenciales antes de que proporciona cualquier
información IP al dispositivo de la serie SRX para la solicitud de carga de configuración. Puede
configurar la contraseña común mediante una instrucción config-payload-password configured-
password de configuración en el nivel de [edit security ike gateway gateway-name aaa access-
profile access-profile-name] jerarquía. Además, en este ejemplo se crean dos túneles a partir del
mismo certificado de cliente mediante el uso de diferentes partes del certificado para obtener
información de nombre de usuario (ICR identidad).
Comproba
in this section
Purpose
Intervención
Desde el modo operativo en el nodo 0, escriba el show security ike security-associations comando.
Después de obtener un número de índice del comando, utilice show security ike security-associations
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las sa de ICR Phase 1 activas con
pico de celdas de Devices. Si no se enumera ninguna SA, hubo un problema con el establecimiento de la
fase 1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa
de su configuración. Este ejemplo muestra únicamente el ICR SA de Phase 1 para la VPN de
mantenimiento seguros; sin embargo, aparecerá una SA de ICR Phase 1 que muestra los parámetros ICR
Phase 1 para la VPN 3GPP.
• Índice: este valor es único para cada ICR SA: puede utilizar el show security ike security-associations
index detail comando para obtener más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP local es correcta y que el puerto 500 se está
utilizando para la comunicación par a par.
• Id. de ICR par (remoto): compruebe que la información del certificado es correcta.
• Identidad local e identidad remota: compruebe que estas direcciones son correctas.
• Las interfaces externas (la interfaz debe ser la que envía los paquetes de ICR)
El show security ike security-associations comando enumera la siguiente información adicional acerca
de las asociaciones de seguridad:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
• Información de funciones
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
Desde el modo operativo en el nodo 0, escriba el show security ipsec security-associations comando.
Después de obtener un número de índice del comando, utilice show security ipsec security-associations
detail el comando.
Efectos
En este ejemplo se muestran las SA activas de ICR Phase 2 para pico 1. Si no se enumera ninguna SA,
hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de la directiva IPsec
en su configuración. Para cada Asociación de fase 2 (mantenimiento seguros y 3GPP), la información se
proporciona tanto en el sentido entrante como en el exterior. La salida del show security ipsec security-
associations comando muestra la siguiente información:
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. 3529/valor indica que la duración de la fase 2 caduca en 3529 segundos y que no se ha
especificado ningún LifeSize, lo que indica que es ilimitado. La duración de la fase 2 puede diferir de
la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
El resultado anterior del show security ipsec security-associations index index_id detail comando
muestra la siguiente información:
Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si
no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la
configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta,
el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden
producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este
caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos
proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.
• Enlaces de túnel seguro (St 0.0 y St 0.1) a las puertas de enlace mantenimiento seguros y 3GPP.
SEE ALSO
En este ejemplo se muestra cómo enlazar un servidor de CA de confianza a una directiva de ICR del
elemento del mismo nivel.
Antes de comenzar, debe disponer de una lista de todas las entidades de certificación de confianza que
desea asociar con la Directiva de ICR del interlocutor.
En este ejemplo, se crea un perfil root-ca de CA con el root-ca-identity nombre y se asocia a al perfil.
[edit]
user@host# set security pki ca-profile root-ca ca-identity root-ca
[edit]
user@host# set security ike proposal ike_prop authentication-method rsa-signatures
[edit]
user@host# set security ike proposal ike_prop dh-group group2
user@host# set security ike proposal ike_prop authentication-algorithm sha-256
user@host# set security ike proposal ike_prop encryption-algorithm aes-256-cbc
[edit]
user@host# set security ike policy ike_policy proposals ike_prop
[edit]
user@host# set security ike policy ike_policy certificate local-certificate SPOKE
[edit]
user@host# set security ike policy ike_policy certificate trusted-ca ca-profile root-ca
Para ver los perfiles de CA y los grupos de CA de confianza configurados show security pki en su
dispositivo, ejecute el comando.
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike_policy {
proposals ike_prop;
certificate {
local-certificate SPOKE;
trusted-ca ca-profile root-ca;
}
}
El show security ike comando muestra el grupo de perfiles de CA bajo la directiva ike_policy ICR
denominada y el certificado asociado a la Directiva de ICR.
SEE ALSO
VÍNCULOS RELACIONADOS
Autoridad de certificación | 44
in this section
Comprensión de la compatibilidad con enrutadores virtuales para redes VPN basadas en rutas | 472
Una interfaz de túnel seguro (st0) es una interfaz interna que utilizan las VPN basadas en la ruta para
enrutar tráfico de texto sin cifrar a un túnel VPN de IPsec.
472
in this section
Esta característica incluye la compatibilidad con instancias de enrutamiento para VPN basadas en rutas.
En versiones anteriores, cuando se colocaba una interfaz st0 en una instancia de enrutamiento no
predeterminada, los túneles VPN de esta interfaz no funcionaban correctamente. En el Junos OS 10,4, la
compatibilidad está habilitada para colocar interfaces st0 en una instancia de enrutamiento, donde cada
unidad está configurada en modo punto a punto o modo multipunto. Por lo tanto, el tráfico VPN
funcionará ahora correctamente en un VR que no sea predeterminado. Ahora puede configurar distintas
subunidades de la interfaz st0 en distintas instancias de enrutamiento. Las siguientes funciones son
compatibles con instancias de enrutamiento no predeterminadas:
• Tráfico de tránsito
• Tráfico automático
• Supervisión de VPN
• Primera trayectoria abierta más corta (Open Shortest Path First) (OSPF) sobre st0
Cuando configura VPN en dispositivos serie SRX, se admite la superposición de direcciones IP a través
de enrutadores virtuales con las siguientes limitaciones:
• Una dirección de interfaz externa ICR no puede superponerse con ningún otro enrutador virtual.
• Una dirección interna o de interfaz de confianza puede superponerse a través de cualquier otro
enrutador virtual.
• Una dirección de interfaz st0 no puede superponerse en túneles de punto a multipunto basados en
rutas como, por ejemplo, NHTB.
• Una dirección de interfaz st0 puede superponerse en túneles de punto a punto en una VPN basada
en rutas.
SEE ALSO
in this section
Aplicables | 474
Automática | 474
Comproba | 480
En este ejemplo se muestra cómo configurar una interfaz st0 en un enrutador virtual.
474
Aplicables
Antes de comenzar, configure las interfaces y asigne las interfaces a las zonas de seguridad. Consulte
"Introducción a las zonas de seguridad".
Descripción general
En este ejemplo, se realizan las operaciones siguientes:
Automática
in this section
Modalidades | 474
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
475
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en la Junos OS CLI usuario .
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.2/30
user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.2.2/30
user@host# set interfaces st0 unit 0 family inet address 10.3.3.2/30
[edit routing-instances]
user@host# set VR1 instance-type virtual-router
user@host# set VR1 interface ge-0/0/1.0
user@host# set VR1 interface st0.0
Resultados
Desde el modo de configuración, escriba los show security comandos y show routing-instances para
confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones
de configuración de este ejemplo para corregirlo.
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy first_ipsecpol {
perfect-forward-secrecy {
keys group1;
}
proposals first_ipsecprop;
}
vpn first_vpn {
bind-interface st0.0;
ike {
gateway first;
ipsec-policy first_ipsecpol;
}
establish-tunnels immediately;
}
}
policies {
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
480
}
}
user@host# show routing-instances
VR1 {
instance-type virtual-router;
interface ge-0/0/1.0;
interface st0.0;
routing-options {
static {
route 10.6.6.0/24 next-hop st0.0;
}
}
}
Comproba
in this section
Purpose
Intervención
En modo operativo, escriba el show interfaces st0.0 detail comando. El número que aparece para la
tabla de enrutamiento se corresponde con el orden de las show route all tablas de enrutamiento del
comando.
481
SEE ALSO
Comprensión de la compatibilidad con enrutadores virtuales para redes VPN basadas en rutas
VÍNCULOS RELACIONADOS
in this section
Ejemplo Configuración de túneles de pila dual a través de una interfaz externa | 485
Se admiten túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un
par) para VPN de sitio a sitio basadas en ruta. Una interfaz física configurada con direcciones IPv4 e IPv6
puede usarse como una interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo interlocutor o
en diferentes interlocutores al mismo tiempo.
in this section
Descripción de los túneles de pila dual a través de una interfaz externa | 484
En el modo de túnel VPN, IPsec encapsula el datagrama IP original (incluido el encabezado IP original)
dentro de un segundo datagrama IP. El encabezado de IP exterior contiene la dirección IP de la puerta de
enlace, mientras que el encabezado interno contiene las últimas direcciones IP de origen y destino. Los
482
encabezados de IP exterior e interior pueden tener un campo de protocolo de IPv4 o IPv6. Los
dispositivos de serie SRX admiten cuatro modos de túnel para VPN de sitio a sitio basadas en rutas.
Los túneles IPv4 en IPv4 encapsulan paquetes IPv4 en paquetes IPv4, como se muestra en Figura 32 en
la página 482la. Los campos de protocolo para la cabecera exterior y la externa son IPv4.
Los túneles IPv6 en IPv6 encapsulan paquetes IPv6 en paquetes IPv6, tal y como se muestra en Figura
33 en la página 482. Los campos de protocolo para la cabecera interna y externa son IPv6.
Los túneles IPv6-en-IPv4 encapsulan paquetes IPv6 en paquetes IPv4, tal y como se Figura 34 en la
página 483muestra en la. El campo Protocol para el encabezado Outer es IPv4 y el campo Protocol para
el encabezado interno es IPv6.
Los túneles IPv4 en IPv6 encapsulan paquetes IPv4 en paquetes IPv6, como se muestra en Figura 35 en
la página 483la. El campo Protocol para el encabezado exterior es IPv6 y el campo Protocol para el
encabezado interior es IPv4.
Un solo túnel VPN de IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede
funcionar al mismo tiempo en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4. Para permitir el tráfico
IPv4 e IPv6 a través de un túnel VPN de IPsec único, la interfaz st0 enlazada con ese túnel debe family
inet configurarse con ambos y family inet6.
Una interfaz física configurada con direcciones IPv4 e IPv6 puede usarse como la interfaz externa para
túneles IPv4 e IPv6 paralelos a un interlocutor de una VPN de sitio a sitio basada en la ruta. Esta
característica se conoce como túneles de pila dual y requiere interfaces st0 independientes para cada
túnel.
484
Para VPN basadas en directivas, IPv6 en IPv6 es el único modo de túnel admitido y solo se admite en
dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM.
Se admiten túneles de doble pila (túneles IPv4 e IPv6 paralelos a través de una sola interfaz física a un
par) para VPN de sitio a sitio basadas en ruta. Una interfaz física configurada con direcciones IPv4 e IPv6
puede usarse como interfaz externa para puertas de enlace IPv4 e IPv6 en el mismo interlocutor o en
diferentes interlocutores al mismo tiempo. En Figura 36 en la página 484, las interfaces físicas Reth 0.0 y
GE-0/0/0.1 admiten túneles IPv4 e IPv6 paralelos entre dos dispositivos.
En Figura 36 en la página 484, deben configurarse interfaces independientes de túnel seguro (st0) para
cada túnel VPN de IPSec. No se admiten los túneles IPv4 e IPv6 paralelos que estén enlazados a la
misma interfaz st0.
Un solo túnel VPN de IPsec puede transportar tráfico IPv4 e IPv6. Por ejemplo, un túnel IPv4 puede
funcionar al mismo tiempo en los modos de túnel IPv4-in-IPv4 e IPv6-in-IPv4. Para permitir el tráfico
IPv4 e IPv6 a través de un túnel VPN de IPsec único, la interfaz st0 enlazada con ese túnel debe family
inet configurarse con ambos y family inet6.
Si se configuran varias direcciones de la misma familia de direcciones en la misma interfaz externa a una
VPN Peer, es recomendable local-address que configureedit security ike gateway gateway-nameel nivel
de jerarquía [].
Si local-address está configurado, la dirección IPv4 o IPv6 especificada se utiliza como dirección de
puerta de enlace local. Si solo se configura una dirección IPv4 y otra de IPv6 en una interfaz externa
física local-address , la configuración no es obligatoria.
El local-address valor debe ser una dirección IP configurada en una interfaz del dispositivo de serie SRX.
Es recomendable que local-address pertenezca a la interfaz externa de la puerta de enlace de ICR. Si
local-address no pertenece a la interfaz externa de la puerta de enlace de ICR, la interfaz debe estar en
la misma zona que la interfaz externa de la puerta de enlace de ICR y debe configurarse una directiva de
seguridad intra-Zone para permitir el tráfico.
El local-address valor y la dirección de puerta de enlace de ICR remoto deben estar en la misma familia
de direcciones, ya sea IPv4 o IPv6.
485
SEE ALSO
in this section
Aplicables | 485
Automática | 489
Comproba | 495
En este ejemplo se muestra cómo configurar túneles IPv4 e IPv6 paralelos en una sola interfaz física
externa a un interlocutor para VPN de sitio a sitio basadas en la ruta.
Aplicables
Antes de comenzar, lea comprensión de los modos de túnel VPN.
La configuración mostrada en este ejemplo sólo es compatible con VPN de sitio a sitio basadas en rutas.
486
Descripción general
in this section
Topología | 489
En este ejemplo, una interfaz Ethernet redundante en el dispositivo local admite túneles IPv4 e IPv6
paralelos a un dispositivo del mismo nivel:
• El túnel IPv4 lleva el tráfico IPv6; funciona en el modo de túnel IPv6-in-IPv4. La interfaz de túnel
seguro St 0.0 enlazada al túnel IPv4 se configura con la familia inet6 solamente.
• El túnel IPv6 lleva tanto el tráfico IPv4 como IPv6; funciona en los modos de túnel IPv4-in-IPv6 e
IPv6-in-IPv6. La interfaz de túnel seguro St 0.1 enlazada al túnel IPv6 está configurada con las
familias inet y inet6.
Tabla 46 en la página 486muestra las opciones de la fase 1 utilizadas en este ejemplo. La configuración
de la opción de la fase 1 incluye dos configuraciones de puerta de enlace ICR, una al interlocutor IPv6 y
la otra a IPv4 del mismo nivel.
Tabla 46: Opciones de la fase 1 para la configuración del túnel de doble pila
, Valor
Tabla 46: Opciones de la fase 1 para la configuración del túnel de doble pila (Continued)
, Valor
Medio Ambiciosa
Tabla 47 en la página 488muestra las opciones de la fase 2 utilizadas en este ejemplo. La configuración
de la opción fase 2 incluye dos configuraciones VPN: una para el túnel IPv6 y la otra para el túnel IPv4.
488
Tabla 47: Opciones de la fase 2 para la configuración del túnel de doble pila
, Valor
Protocolo SENSORIAL
Clasificado ipsec_proposal
Una ruta estática se configura en la tabla de enrutamiento de valores predeterminados (IPv4) para
enrutar el tráfico IPv4 a 30.0.0.0/24 hasta St 0.1.
El procesamiento basado en flujos del tráfico IPv6 debe estar habilitado mode flow-based con la opción
de configuraciónedit security forwarding-options family inet6en el nivel de jerarquía [].
Topología
En Figura 37 en la página 489, el dispositivo serie SRX a admite túneles IPv4 e IPv6 hasta dispositivo B.
el tráfico ipv6 hacia 3000::1/128 se enruta a través del túnel IPv4, mientras que el tráfico IPv6 al tráfico
3000::2/128 e IPv4 a 30.0.0.0/24 se enrutan a través del túnel IPv6.
Automática
in this section
Modalidades | 490
490
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en la Junos OS CLI usuario .
[edit interfaces]
user@host# set ge-0/0/1 gigether-options redundant-parent reth1
user@host# set ge-8/0/1 gigether-options redundant-parent reth1
user@host# set reth1 redundant-ether-options redundancy-group 1
user@host# set reth1 unit 0 family inet address 20.0.0.1/24
user@host# set reth1 unit 0 family inet6 address 2000::1/64
[edit interfaces]
user@host# set st0 unit 0 family inet6
user@host# set st0 unit 1 family inet
user@host# set st0 unit 1 family inet6
Resultados
Desde el modo de configuración show interfaces, especifique los comandos, show security ike, show
security ipsecshow routing-options, y show security forwarding-options para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 20.0.0.1/24;
}
family inet6 {
address 2000::1/64;
}
}
}
st0 {
unit 0 {
family inet;
494
family inet6;
}
unit 1 {
family inet6;
}
}
[edit]
user@host# show security ike
proposal ike_proposal {
authentication-method pre-shared-keys;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
policy ike_policy {
mode aggressive;
proposals ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway ike_gw_v6 {
ike-policy ike_policy;
address 2000::2;
external-interface reth1.0;
version v2-only;
}
gateway ike_gw_4 {
ike-policy ike_policy;
address 20.0.0.2;
external-interface reth1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy {
proposals ipsec_proposal;
}
vpn test_s2s_v6 {
bind-interface st0.1;
ike {
495
gateway ike_gw_v6;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
vpn test_s2s_v4 {
bind-interface st0.0;
ike {
gateway ike_gw_4;
ipsec-policy ipsec_policy;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 3000::1/128 next-hop st0.0;
route 3000::2/128 next-hop st0.1;
}
}
static {
route 30.0.0.0/24 next-hop st0.1;
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Comproba
in this section
Purpose
Intervención
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los
parámetros de propuesta de la fase 1 deben coincidir en los dispositivos del mismo nivel.
Purpose
Intervención
Efectos
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si
no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los
parámetros de propuesta de la fase 2 deben coincidir en los dispositivos del mismo nivel.
Comprobando rutas
Purpose
Intervención
Efectos
El show route comando enumera las entradas activas en las tablas de enrutamiento.
VÍNCULOS RELACIONADOS
in this section
Comprensión de los clústeres de chasis de VPN IPsec de reserva activa dual | 500
500
Los dispositivos de serie SRX son compatibles con túneles VPN de IPsec en una configuración de
clústeres del chasis. En un clúster de chasis activo/pasivo, todos los túneles VPN terminan en el mismo
nodo. En un clúster de chasis activo/activo, los túneles VPN pueden terminar en cualquier nodo.
En un clúster de chasis activo/pasivo, todos los túneles de VPN terminan en el mismo nodo Figura 38 en
la página 500, como se muestra en la.
En un clúster de chasis activo/activo, los túneles VPN pueden terminar en cualquier nodo. Los dos
nodos del clúster del chasis pueden pasar activamente el tráfico a través de túneles VPN en ambos
501
nodos al mismo tiempo, Figura 39 en la página 501como se muestra en la. Esta implementación se
conoce como clústeres de chasis VPN de reserva IPSec de doble actividad.
Las siguientes características se admiten con clústeres duales de canal de seguridad activo-VPN IPsec:
• IKEv1 e IKEv2.
• Supervisión de VPN.
• AutoVPN con interfaces de st0 en modo punto a punto con selectores de tráfico.
• Tráfico fragmentado.
• La interfaz de bucle de retroceso puede configurarse como la interfaz externa para VPN.
502
VPN IPsec de reserva de backup dual los clústeres no se pueden configurar con flujos de modo Z. Los
flujos de modo Z se producen cuando el tráfico entra en una interfaz en un nodo del clúster del chasis,
pasa por el vínculo de la estructura y sale a través de una interfaz en el otro nodo del clúster.
SEE ALSO
in this section
Aplicables | 502
Automática | 506
Comproba | 510
En este ejemplo se muestra cómo configurar un grupo de redundancia (RG) para una interfaz de bucle
invertido para evitar errores de VPN. Los grupos de redundancia se utilizan para agrupar interfaces en
un grupo con el fin de hacer failover en una configuración de clústeres del chasis.
Aplicables
Este ejemplo utiliza el siguiente hardware y software:
• Dos conmutadores
• Junos OS de la versión 12.1 x44-D10 o posterior para puertas de enlace de servicios serie SRX
Antes de empezar:
Comprender las interfaces Ethernet redundantes del clúster de chasis. Consulte Guía de usuario del
clúster de chasis para obtener serie SRX dispositivos.
503
Descripción general
Una puerta de enlace de Intercambio de claves por red (ICR) necesita una interfaz externa para
comunicarse con un dispositivo del mismo nivel. En una instalación del clúster del chasis, el nodo en el
que está activa la interfaz externa Selecciona una unidad de procesamiento de servicios (SPU) para
soportar el túnel VPN. Los paquetes de ICR e IPsec se procesarán en esa SPU. Por lo tanto, la interfaz
externa activa decide el anclaje de la SPU.
En la configuración de un clúster del chasis, la interfaz externa es una interfaz Ethernet redundante. Una
interfaz Ethernet redundante puede bajarse cuando sus interfaces físicas (secundarias) están inactivas.
Puede configurar una interfaz de bucle de retorno como una interfaz física alternativa para alcanzar la
puerta de enlace del mismo nivel. Las interfaces de bucle de retroceso se pueden configurar en cualquier
grupo de redundancia. Esta configuración del grupo de redundancia solo se comprueba para paquetes
VPN, dado que solo los paquetes VPN deben encontrar el anclaje SPU a través de la interfaz activa.
Debe configurar lo0. x en un enrutador virtual personalizado, ya que lo 0,0 se encuentra en el enrutador
virtual predeterminado y solo se permite una interfaz de bucle de retroceso en un enrutador virtual.
Figura 40 en la página 505muestra un ejemplo de una topología VPN de clúster de un chasis de bucle
invertido. En esta topología, el dispositivo en el clúster del serie SRX chasis se encuentra en Sunnyvale,
California. El dispositivo en el clúster del serie SRX funciona como una sola puerta de enlace en esta
instalación. El dispositivo de la serie SSG (o un dispositivo de otro fabricante) se encuentra en Chicago,
504
Illinois. Este dispositivo actúa como un dispositivo del mismo nivel para el clúster de chasis SRX y ayuda
a crear un túnel VPN.
505
Figura 40: Interfaz de bucle invertido para VPN del clúster de chasis
506
Automática
in this section
Modalidades | 506
Modalidades
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un
archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su
configuración de red, copie y pegue los [edit] comandos en la CLI en la jerarquía nivel y, a continuación
commit , entrar desde el modo de configuración.
[edit interfaces]
user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
[edit interfaces]
user@host# set lo0 unit 1 family inet address 10.3.3.3/30
[edit routing-instances]
user@host# set vr1 instance-type virtual-router
user@host# set vr1 interface lo0.1
user@host# set vr1 interface reth0.0
user@host# set vr1 interface reth1.0
user@host# set vr1 interface st0.0
user@host# set vr1 routing-options static route 192.168.168.1/24 next-hop st0.0
4. Configure la interfaz de bucle invertido como una interfaz externa para la puerta de enlace de ICR.
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces lo0, show routing-
instancesescriba show security ikelos comandos show security ipsec ,, y. Si el resultado no muestra la
configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces lo0
unit 1 {
family inet {
address 10.3.3.3/30;
}
}
redundant-pseudo-interface-options {
509
redundancy-group 1;
}
[edit]
user@host# show routing-instances
vr1 {
instance-type virtual-router;
interface lo0.1;
interface reth0.0;
interface reth1.0;
interface st0.0;
routing-options {
static {
route 192.168.168.1/24 next-hop st0.0;
}
}
}
[edit]
user@host# show security ike
policy ike-policy1 {
mode main;
proposal-set standard;
pre-shared-key ascii-text "$ABC123";
}
gateway t-ike-gate {
ike-policy ike-policy1;
address 10.2.2.2;
external-interface lo0.1;
}
[edit]
user@host# show security ipsec
proposal p2-std-p1 {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 180;
}
proposal p2-std-p2 {
510
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
lifetime-seconds 180;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
policy vpn-policy2 {
perfect-forward-secrecy {
keys group2;
}
proposals [ p2-std-p1 p2-std-p2 ];
}
vpn t-ike-vpn {
bind-interface st0.0;
ike {
gateway t-ike-gate;
proxy-identity {
local 10.10.10.1/24;
remote 192.168.168.1/24;
}
ipsec-policy vpn-policy1;
}
}
Comproba
in this section
Verificación de la configuración
Purpose
Compruebe que la configuración de los grupos de redundancia para las interfaces de bucle invertido sea
correcta.
Intervención
Efectos
El show chassis cluster interfaces comando muestra la información de las interfaces del clúster del
chasis. Si el estado del campo de información de pseudo-interfaz redundante muestra la interfaz lo0
512
como arriba y el estado del campo de información redundante de Ethernet muestra los campos reth0,
reth1 y reth2, y la configuración es correcta.
SEE ALSO
VÍNCULOS RELACIONADOS
in this section
Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel
VPN si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el
tráfico que se ajusta a un selector de tráfico a través de la Asociación de seguridad (SA) asociada.
in this section
Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel
si el tráfico coincide con un par especificado de direcciones locales y remotas. Con esta característica,
puede definir un selector de tráfico dentro de una VPN basada en ruta específica, lo que puede producir
varias asociaciones de seguridad (SA) de IPsec de fase 2. Solo se permite el tráfico que se ajusta a un
selector de tráfico a través de la SA asociada.
A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, los selectores de tráfico se
pueden configurar con VPN de sitio a sitio de IKEv1. A partir de Junos OS Release 15.1 X49-D100, los
selectores de tráfico se pueden configurar con VPN de sitio a sitio IKEv2.
Para un determinado selector de tráfico, se especifica una sola dirección y máscara de la m á scara para
las direcciones locales y remotas. Los selectores de tráfico se pueden configurar con direcciones IPv4 o
IPv6. Las libretas de direcciones no se pueden utilizar para especificar direcciones locales o remotas.
Se pueden configurar varios selectores de tráfico para la misma VPN. Se pueden configurar un máximo
de 200 selectores de tráfico para cada VPN. Los selectores de tráfico se pueden usar con los modos
IPv4-in-IPv4, IPv4-in-IPv6, IPv6-in-IPv6 o IPv6-in-IPv4.
• Supervisión de VPN
• Una dirección remota de 0.0.0.0/0 (IPv4) o 0::0 (IPv6) para VPN de sitio a sitio
A partir de Junos OS versión 15.1X49-D140, en todos los dispositivos serie SRX y las instancias
vSRX, cuando configure el selector de tráfico con una dirección remota de 0:0 (IPv6), el siguiente
mensaje se muestra cuando se realiza la confirmación y se produce un error “error: configuration
check-out failed” en la desprotección de la configuración.
Cuando hay varios selectores de tráfico configurados para una VPN basada en rutas, el tráfico claro
puede entrar en un túnel VPN sin tener que coincidir con un selector de tráfico si la interfaz externa de
514
ICR puerta de enlace se mueve a otro enrutador virtual (VR). El software no controla varios eventos de
interfaz asincrónica que se generan cuando una ICR interfaz externa de puerta de enlace se mueve a
otro VR. Como solución, primero debe desactivar el túnel VPN de IPsec y ejecutar la configuración sin
ese túnel antes de trasladar la interfaz externa de puerta de enlace de ICR a otro virtual virtual.
La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y
los hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota
configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota
configurada se inserta como ruta en la instancia de enrutamiento asociada con la interfaz st0 que está
enlazada a la VPN.
Los protocolos de enrutamiento y la configuración del selector de tráfico son maneras mutuamente
excluyentes del tráfico de dirección hacia un túnel. Las rutas ARI pueden entrar en conflicto con rutas
que se rellenan a través de protocolos de enrutamiento. Por lo tanto, no debe configurar protocolos de
enrutamiento en una interfaz st0 que esté enlazada a una VPN en la que estén configurados los
selectores de tráfico.
ARI se conoce también como inserción de ruta inversa (RRI). Las rutas ARI se insertan en la tabla de
enrutamiento de la siguiente manera:
• Si la establish-tunnels immediately opción no está configurada enedit security ipsec vpn vpn-nameel
nivel de jerarquía [], las rutas Ari se agregan durante la confirmación de configuración.
• No se añade una ruta ARI si la dirección remota configurada o negociada en el selector de tráfico es
0.0.0.0/0 o 0::0.
La preferencia de la ruta ARI estática es la 5. Este valor es necesario para evitar conflictos con rutas
similares que puede Agregar un proceso de protocolo de enrutamiento. No hay configuración de la
métrica para la ruta ARI estática.
La ruta ARI estática no puede filtrarse por otras instancias de enrutamiento que rib-groups usan la
configuración. Utilice la import-policy configuración para filtrar las rutas Ari estáticas.
En esta sección se explican las direcciones IP superpuestas en las configuraciones de los selectores de
tráfico.
515
Los selectores de tráfico no admiten este escenario. Los selectores de tráfico no se pueden configurar en
distintas VPN que se enlazan con la misma interfaz st0 punto a multipunto, como se muestra en el
siguiente ejemplo:
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
}
vpn vpn-2 {
bind-interface st0.1;
}
Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en la misma VPN, el
primer selector de tráfico configurado que coincide con el paquete determina el túnel utilizado para el
cifrado de paquetes.
En el ejemplo siguiente, se configuran cuatro selectores de tráfico (TS-1, TS-2, TS-3 y TS-4) para VPN
(VPN-1), que está enlazado a la interfaz punto a punto St 0.1:
[edit]
user@host# show security ipsec vpn vpn-1
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.5.0/24;
remote-ip 10.1.5.0/24;
}
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.1.0.0/16;
}
traffic-selector ts-3 {
local-ip 172.16.0.0/16;
remote-ip 10.2.0.0/16;
}
traffic-selector ts-4 {
516
local-ip 172.16.5.0/24;
remote-ip 10.2.5.0/24;
}
}
Un paquete con una dirección de origen 192.168.5.5 y una dirección 10.1.5.10 de destino coincide con
los selectores de tráfico TS-1 y TS-2. Sin embargo, el selector de tráfico TS-1 es la primera coincidencia
configurada y el túnel asociado con TS-1 se utiliza para el cifrado de paquetes.
Un paquete con una dirección de origen 172.16.5.5 y una dirección de destino 10.2.5.10 coincide con
los selectores de tráfico TS-3 y TS-4. Sin embargo, el selector de tráfico TS-3 es la primera coincidencia
configurada y el túnel asociado con el selector de tráfico TS-3 se utiliza para el cifrado de paquetes.
Cuando se configuran direcciones IP superpuestas para varios selectores de tráfico en VPN diferentes
enlazados a interfaces st0 punto a punto diferentes, una interfaz st0 se selecciona en primer lugar por la
coincidencia de prefijo más larga para un paquete dado. Dentro de la VPN que está enlazada a la interfaz
st0 seleccionada, se selecciona el selector de tráfico en función de la primera coincidencia configurada
para el paquete.
En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores
de tráfico se configuran con la misma subred local pero con las distintas redes remotas.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.2.2.0/24;
}
}
517
En cada selector de tráfico se configuran distintas redes remotas, por lo que se agregan dos rutas
distintas a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN
correspondiente.
En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores
de tráfico se configuran con distintas redes remotas. Se configura la misma subred local para cada
selector de tráfico, pero se especifican distintos valores de máscara de red.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.0.0/8;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.2.2.0/24;
}
}
En cada selector de tráfico se configura una subred remota diferente, por lo que se agregan dos rutas
distintas a la tabla de enrutamiento. La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN
correspondiente.
En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los
selectores de tráfico se configuran con distintas redes remotas y locales.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
518
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/24;
remote-ip 10.2.2.0/24;
}
}
En este caso, los selectores de tráfico no se superponen. Las subredes remotas configuradas en los
selectores de tráfico son distintas, por lo que dos rutas distintas se agregan a la tabla de enrutamiento.
La búsqueda de ruta utiliza la interfaz st0 enlazada con la VPN correspondiente.
En el ejemplo siguiente, se configura un selector de tráfico en cada una de las dos VPN. Los selectores
de tráfico se configuran con la misma subred local. Se ha configurado la misma subred remota para cada
selector de tráfico, pero se han especificado distintos valores de máscara de red.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.1.0.0/16;
}
}
Tenga en cuenta remote-ip que la configuración de TS-1 es 10.1.1.0/24 remote-ip mientras que la
configurada para TS-2 es 10.1.0.0/16. Para un paquete destinado a 10.1.1.1, la búsqueda de ruta
selecciona la interfaz St 0.1, ya que tiene la coincidencia de prefijo más larga. El paquete se cifra
basándose en el túnel correspondiente a la interfaz St 0.1.
En algunos casos, es posible eliminar paquetes válidos debido a la aplicación del tráfico del selector de
tráfico. En el ejemplo siguiente, los selectores de tráfico se configuran en cada una de las dos VPN. Los
519
selectores de tráfico se configuran con distintas subredes locales. Se ha configurado la misma subred
remota para cada selector de tráfico, pero se han especificado distintos valores de máscara de red.
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/16;
remote-ip 10.1.0.0/16;
}
}
En la tabla de enrutamiento se añaden dos rutas a 10.1.1.0 (10.1.1.0/24 a través de interface St 0.1 e
10.1.0.0/16 Via interface St 0,2). Un paquete enviado desde el origen 172.16.1.1 al destino 10.1.1.1
coincide con la entrada de la tabla de enrutamiento para 10.1.1.0/24 a través de la interfaz St 0.1. Sin
embargo, el paquete no coincide con el tráfico especificado por el selector de tráfico TS-1 y se descarta.
Si hay varios selectores de tráfico configurados con la misma subred remota y máscara de red, las rutas
de costo igual se agregan a la tabla de enrutamiento. Este caso no es compatible con los selectores de
tráfico, ya que no se puede predecir la ruta elegida.
SEE ALSO
in this section
Aplicables | 520
Automática | 522
Comproba | 536
En este ejemplo se muestra cómo configurar los selectores de tráfico para una VPN basada en una ruta.
Aplicables
Antes de empezar, lea los selectores de tráfico de las VPN basadas en rutas.
Descripción general
in this section
Topología | 521
En este ejemplo se configuran los selectores de tráfico para permitir que el tráfico fluya entre subredes
en SRX_A y en las subredes de SRX_B.
Tabla 48 en la página 521muestra los selectores de tráfico de este ejemplo. Los selectores de tráfico se
configuran en las opciones de fase 2.
521
SRX_A SRX_B
El procesamiento basado en flujos del tráfico IPv6 debe estar habilitado mode flow-based con la opción
de configuraciónedit security forwarding-options family inet6en el nivel de jerarquía [].
Topología
En Figura 41 en la página 521, un túnel VPN de IPv6 lleva tanto el tráfico IPv4 como IPv6 entre los
dispositivos SRX_A y SRX_B. Es decir, el túnel funciona en los modos de túnel IPv4-in-IPv6 e IPv6-in-
IPv6.
Automática
in this section
Configurar SRX_A
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64
524
[edit interfaces]
user@host# set st0 unit 1 family inet
user@host# set st0 unit 1 family inet6
[edit interfaces]
user@host# set ge-1/0/1 unit 0 family inet address 192.168.10.1/24
user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security
ikeescriba show security ipseclos show security forwarding-optionscomandos show security zones,,
show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
family inet6 {
address 10::1/64;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
}
[edit]
user@host# show security ike
proposal PSK-DH14-AES256-SHA256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
mode main;
527
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text
"$ABC123"; ## SECRET-DATA
}
gateway SRX_A-to-SRX_B {
ike-policy site-2-site;
address 192.168.20.2;
external-interface ge-0/0/1.0;
local-address 192.168.10.1;
}
[edit]
user@host# show security ipsec
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_A-to-SRX_B {
bind-interface st0.1;
ike {
ipsec-policy site-2-site;
gateway SRX_A-to-SRX_B;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:10::0/64;
remote-ip 2001:db8:20::0/64;
}
traffic-selector TS2-ipv4 {
local-ip 192.168.10.0/24;
remote-ip 192.168.0.0/16;
}
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
528
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
}
[edit]
user@host# show security policies
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
529
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Configurar SRX_B
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64
[edit interfaces]
user@host# set st0 unit 1 family inet
user@host# set st0 unit 1 family inet6
[edit interfaces]
user@host# set ge-1/0/1 unit 0 family inet address 192.168.20.1/24
user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64
user@host# set ge-1/1/1 unit 0 family inet address 192.168.0.1/24
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security
ikeescriba show security ipseclos show security forwarding-optionscomandos show security zones,,
show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::2/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
family inet6 {
address 2001:db8:20::0/64;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.0.1/24;
}
}
}
st0 {
unit 1 {
534
family inet;
family inet6;
}
}
[edit]
user@host# show security ike
proposal PSK-DH14-AES256-SHA256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
mode main;
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway SRX_B-to-SRX_A {
ike-policy site-2-site;
address 192.168.10.1;
external-interface ge-0/0/1.0;
local-address 192.168.20.2;
}
[edit]
user@host# show security ipsec
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_B-to-SRX-A {
bind-interface st0.1;
ike {
ipsec-policy site-2-site;
gateway SRX_B-to-SRX_A;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:20::0/64;
remote-ip 2001:db8:10::0/64;
535
}
traffic-selector TS2-ipv4 {
local-ip 192.168.0.0/16;
remote-ip 192.168.10.0/24;
}
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
ge-1/1/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
536
}
[edit]
user@host# show security policies
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Comproba
in this section
Purpose
Intervención
Efectos
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si
no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los
parámetros de propuesta de la fase 2 deben coincidir en los dispositivos del mismo nivel.
Purpose
Intervención
Comprobando rutas
Purpose
Intervención
Efectos
El show route comando enumera las entradas activas en las tablas de enrutamiento. Las rutas a la
dirección IP remota configurada en cada selector de tráfico deben estar presentes con la interfaz st0
correcta.
SEE ALSO
release-history
release heading desc heading in release-history
in release-
history
15.1X49-D140 A partir de Junos OS versión 15.1X49-D140, en todos los dispositivos serie SRX y las
instancias vSRX, cuando configure el selector de tráfico con una dirección remota de 0:0
(IPv6), el siguiente mensaje se muestra cuando se realiza la confirmación y se produce un
error “error: configuration check-out failed” en la desprotección de la configuración.
15.1X49-D100 A partir de Junos OS Release 15.1 X49-D100, los selectores de tráfico se pueden configurar
con VPN de sitio a sitio IKEv2.
12.1X46-D10 A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, los selectores de
tráfico se pueden configurar con VPN de sitio a sitio de IKEv1.
541
VÍNCULOS RELACIONADOS
in this section
Puede configurar Junos características de clase de servicio (CoS) para proporcionar varias clases de
servicio para las VPN. En el dispositivo, puede configurar varias clases de reenvío para transmitir
paquetes, definir qué paquetes se colocan en cada cola de salida, programar el nivel del servicio de
transmisión para cada cola y administrar la congestión.
in this section
Ventajas de las VPN de IPsec basadas en CoS con varias SA de IPsec | 544
Regeneración | 545
Órdenes | 546
Clase de servicio (CoS) las clases de reenvío (FCs) configuradas en el dispositivo serie SRX se pueden
asignar a asociaciones de seguridad IPsec (SA). Los paquetes de cada FC se asignan a una asociación de
IPsec diferente, lo que permite el tratamiento de CES en el dispositivo local y en enrutadores
intermedios.
• Ayuda a garantizar distintas secuencias de datos, donde cada túnel utiliza un conjunto independiente
de asociaciones de seguridad.
• Ayuda a facilitar las implementaciones de VPN de IPsec en las que se requiere tráfico diferenciado,
como voz sobre IP.
Descripción general
Esta característica es propiedad de Juniper Networks y funciona con las plataformas SRX y las versiones
Junos OS compatibles. El dispositivo del mismo nivel de VPN debe ser un dispositivo serie SRX o una
instancia vSRX compatible con esta característica o cualquier otro producto que admita la misma
funcionalidad que serie SRX dispositivo.
Se pueden configurar hasta 8 clases de reenvío (FC) para una VPN con el multi-sa forwarding-classes
nivel de jerarquíaedit security ipsec vpn vpn-name[]. El número de SA de IPsec negociadas con una
puerta de enlace del mismo nivel se basa en el número de FCs configurado para la VPN. La asignación de
FCs a SA de IPsec se aplica a todos los selectores de tráfico configurados para la VPN.
Todas las SA de IPsec creadas para el FCs de una VPN específica se representan mediante el mismo ID
de túnel. Los eventos relacionados con el túnel tienen en cuenta el estado y las estadísticas de todas las
SA de IPsec. Todas las SA IPsec relacionadas con un túnel se fijan a la misma SPU o al mismo ID de
subproceso serie SRX dispositivos o instancias de vSRX.
Negociación de SA de IPsec
Cuando se configuran varios FCs para una VPN, se negocia una asociación de IPsec única con el
interlocutor para cada FC. Además, se negocia una asociación de IPsec predeterminada para enviar
paquetes que no coinciden con una FC configurada. Se negocia el IPsec predeterminado, incluso si el
dispositivo VPN del mismo nivel no está configurado para FCs o si no admite FC para la asignación de
asociaciones de Asociación de IPsec. La SA IPsec predeterminada es la primera SA IPsec que se va a
negociar y la última SA que deje de funcionar.
Dependiendo del número de FCs configurado. Cuando las SA de IPsec se encuentran en proceso de
negociación, los paquetes pueden llegar con un FC para el que aún no se ha negociado una asociación
545
de IPsec. Hasta que se negocia una asociación de IPsec para una FC determinada, el tráfico se envía a la
SA IPsec predeterminada. Un paquete con una FC que no coincida con ninguna de las SA IPsec
instaladas se envía a la Asociación de IPsec predeterminada.
La asignación de FCs a SA IPsec se realiza en la puerta de enlace VPN local. Las puertas de enlace
locales y las de los interlocutores pueden tener un FCs configurado en un orden diferente. Cada puerta
de enlace del mismo nivel asigna FCs en el orden en que se completan las negociaciones de SA de IPsec.
Por lo tanto, las puertas de enlace locales y las de los interlocutores pueden tener FC diferentes para las
asignaciones de SA de IPsec. Una puerta de enlace detiene la negociación de nuevas asociaciones de
IPsec una vez que se alcanza el número configurado de FCs. Una puerta de enlace del mismo nivel
puede iniciar más SA IPsec que el número de FCs configurado en la puerta de enlace local. En este caso,
la puerta de enlace local acepta las solicitudes SA de IPsec adicionales, hasta 18 SA de IPsec. La puerta
de enlace local utiliza las demás SA de IPsec únicamente para descifrar el tráfico entrante de IPsec. Si se
recibe un paquete con una FC que no coincide con ninguna FC configurada, el paquete se envía por el
FC SA de IPsec predeterminado.
Si se recibe una notificación de eliminación para la SA IPsec predeterminada desde el dispositivo del
mismo nivel, solo se eliminará la SA IPsec predeterminada y se negociará la nueva asociación de IPsec
predeterminada. Durante este tiempo, se elimina el tráfico que puede encontrarse en la Asociación de
IPsec predeterminada. El túnel VPN se deja desactivado sólo si la SA IPsec predeterminada es la última
SA.
Si la establish-tunnels on-traffic opción está configurada para la VPN, el dispositivo de serie SRX
negocia las SA de IPsec cuando llega el primer paquete de datos; el FC del primer paquete no es
relevante. Con cualquiera de estas opciones, primero se negocia la SA IPsec predeterminada, después se
negocia cada SA de IPsec uno a uno en el orden en que se configura FCs en el dispositivo.
Regeneración
Cuando se usan varias SA con el tráfico de punto de código de servicios diferenciados (DSCP) que
controlan los selectores de tráfico, se produce el siguiente comportamiento durante la regeneración de
claves. Cuando los selectores de tráfico realizan el cambio de claves, si uno o varios de los selectores de
tráfico no pueden generar claves por cualquier motivo, la SA específica se desactivará cuando expire la
duración. En este caso, el tráfico que se utiliza para hacer coincidir la SA específica se envía a través del
selector de tráfico predeterminado en su lugar.
546
Cuando se agregan o se eliminan FCs de una VPN, las asociaciones de seguridad de ICR y IPsec para
VPN se activan o desconectan, y las negociaciones se reinician. El clear security ipsec security-
associations comando borra todas las SA de IPSec.
Cuando DPD está configurado con esta característica, el optimized modo envía sondeos únicamente
cuando hay tráfico saliente y no hay tráfico entrante en ninguna de las SA de IPSec. Mientras que probe-
idle el modo envía sondeos sólo cuando no hay tráfico saliente ni entrante en ninguna de las SA de
IPSec. No se admite la supervisión de VPN con la característica DPD.
Órdenes
El show security ipsec sa details index tunnel-id comando muestra todos los detalles de SA de IPSec,
incluido el nombre del FC. El show security ipsec stats index tunnel-id comando muestra las estadísticas
de cada FC.
Las VPN de IPsec basadas en CoS admiten las siguientes características VPN:
• AutoVPN.
• Selectores de tráfico.
SEE ALSO
Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel
VPN si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el
tráfico que se ajusta a un selector de tráfico a través de la Asociación de seguridad (SA) asociada.
• Uno o varios selectores de tráfico de una VPN de sitio a sitio basada en rutas con el mismo FCs.
• Varios selectores de tráfico, con diferentes FCs para cada selector de tráfico. Este escenario requiere
configuraciones VPN separadas.
En este tema se describen las configuraciones VPN y las SA IPsec que se negocian para cada escenario.
forwarding-classes {
queue 7 voip-data;
queue 6 web-data;
queue 5 control-data;
}
En el primer caso, VPN VPN1 se configura con un único selector de tráfico TS1 y tres:
ipsec {
vpn vpn1 {
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data
forwarding-class control-data;
}
}
}
En la configuración anterior, se negocian cuatro SA IPsec para el selector de tráfico ts1: uno para la SA
IPsec predeterminada y tres para las SA de IPsec que se asignan a FC.
548
En el segundo caso, VPN VPN1 se configura con dos selectores de tráfico TS1 y TS2 y tres:
ipsec {
vpn vpn1 {
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
ts2 {
local-ip 6.6.6.0/24;
remote-ip 7.7.7.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data
forwarding-class control-data;
}
}
}
En la configuración anterior, se negocian cuatro SA IPsec para el selector de tráfico TS1 y se negocian
cuatro SA IPsec para el selector de tráfico TS2. Para cada selector de tráfico, hay una SA de IPsec
negociada para la SA IPsec predeterminada y tres asociaciones de IPsec negociadas para las SA de IPsec
que se asignan a FCs.
En el tercer escenario, los selectores de tráfico TS1 y TS2 admiten distintos conjuntos de FCs. Los
selectores de tráfico deben configurarse para distintas VPN:
ipsec {
vpn vpn1 {
bind-interface st0.0;
ts1 {
local-ip 3.3.3.0/24;
remote-ip 4.4.4.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data;
forwarding-class control-data;
}
549
vpn vpn2 {
bind-interface st0.0;
ts2 {
local-ip 6.6.6.0/24;
remote-ip 7.7.7.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data;
}
}
En la configuración anterior, se negocian cuatro SA de IPsec para el selector de tráfico ts1 en VPN vpn1:
uno para la SA IPsec predeterminada y tres para las SA de IPsec que se asignan a FC.
SEE ALSO
in this section
Aplicables | 550
Automática | 554
Comproba | 575
En este ejemplo se muestra cómo configurar una VPN de IPsec basada en el co con varias asociaciones
de IPsec para permitir la asignación de paquetes para cada clase de reenvío a una asociación de IPsec
diferente, lo que supone un tratamiento de CES en el dispositivo local y en enrutadores intermedios.
550
Esta característica es propiedad de Juniper Networks y funciona únicamente con las plataformas SRX y
las versiones Junos OS compatibles. El dispositivo del mismo nivel de VPN debe ser un dispositivo serie
SRX o una instancia vSRX compatible con esta característica.
Aplicables
Este ejemplo utiliza el siguiente hardware:
Antes de empezar:
• Comprenda cómo se pueden asignar las clases de reenvío de clase de servicio (CoS) (FCs)
configuradas en el dispositivo serie SRX a las asociaciones de seguridad IPsec (SA). Consulte
Descripción de VPN de IPsec basadas en CoS con varias SA de IPsec.
• Comprender los selectores de tráfico y las VPN basadas en CES de IPsec. Consulte Descripción de los
selectores de tráfico y VPN de IPsec basados en CoS.
Descripción general
En este ejemplo, se configura una VPN basada en enrutamiento IPsec para una sucursal de Chicago, ya
que no es necesario conservar los recursos de túnel ni configurar muchas políticas de seguridad para
filtrar el tráfico a través del túnel. Los usuarios de la oficina de Chicago utilizarán la red privada virtual
para conectarse a sus sedes corporativas en Sunnyvale.
551
Figura 42 en la página 551muestra un ejemplo de una topología VPN basada en enrutamiento de IPsec.
En esta topología, un dispositivo serie SRX se encuentra en Sunnyvale y un dispositivo serie SRX se
encuentra en Chicago.
En este ejemplo, configure interfaces, una ruta y zonas de seguridad predeterminadas de IPv4. A
continuación, configure ICR, IPsec, una directiva de seguridad y los parámetros CoS. Consulte Tabla 49
en la página 552 a Tabla 52 en la página 554través de.
552
ge-0/0/3.0 10.1.1.2/30
• aplicación cualquier
• Intervención estancia
• aplicación cualquier
• Intervención estancia
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30
user@host# set interfaces st0 unit 0 family inet address 10.10.11.10/24
556
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop st0.0
[edit ]
user@host# edit security zones security-zone untrust
4. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit]
user@host# edit security zones security-zone trust
9. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
[edit]
user@host# edit security zones security-zone vpn
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show
security zones para confirmar la configuración. Si el resultado no muestra la configuración deseada,
repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30;
}
558
}
}
st0 {
unit 0 {
family inet {
address 10.10.11.10/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
559
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
}
}
Configuración de la CES
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
000101
set class-of-service classifiers dscp ba-classifier forwarding-class control-data loss-priority high code-points
000111
set class-of-service classifiers dscp ba-classifier forwarding-class voip-data loss-priority high code-points
000110
set class-of-service forwarding-classes queue 7 voip-data
set class-of-service forwarding-classes queue 6 control-data
set class-of-service forwarding-classes queue 5 web-data
set class-of-service forwarding-classes queue 4 res-class
set class-of-service forwarding-classes queue 2 af-class
set class-of-service forwarding-classes queue 1 ef-class
set class-of-service forwarding-classes queue 0 best-effort
set class-of-service forwarding-classes queue 3 network-control
set class-of-service interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier
set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map sched_1
set class-of-service scheduler-maps sched_1 forwarding-class voip-data scheduler Q7
set class-of-service scheduler-maps sched_1 forwarding-class control-data scheduler Q6
set class-of-service scheduler-maps sched_1 forwarding-class web-data scheduler Q5
set class-of-service scheduler-maps sched_1 forwarding-class res-class scheduler Q4
set class-of-service scheduler-maps sched_1 forwarding-class af-class scheduler Q2
set class-of-service scheduler-maps sched_1 forwarding-class ef-class scheduler Q1
set class-of-service scheduler-maps sched_1 forwarding-class best-effort scheduler Q0
set class-of-service scheduler-maps sched_1 forwarding-class network-control scheduler Q3
set class-of-service schedulers Q7 transmit-rate percent 5
set class-of-service schedulers Q7 priority strict-high
set class-of-service schedulers Q6 transmit-rate percent 25
set class-of-service schedulers Q6 priority high
set class-of-service schedulers Q5 transmit-rate remainder
set class-of-service schedulers Q5 priority high
set class-of-service schedulers Q4 transmit-rate percent 25
set class-of-service schedulers Q4 priority medium-high
set class-of-service schedulers Q3 transmit-rate remainder
set class-of-service schedulers Q3 priority medium-high
set class-of-service schedulers Q2 transmit-rate percent 10
set class-of-service schedulers Q2 priority medium-low
set class-of-service schedulers Q1 transmit-rate percent 10
set class-of-service schedulers Q1 priority medium-low
set class-of-service schedulers Q0 transmit-rate remainder
set class-of-service schedulers Q0 priority low
561
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit class-of-service]
user@host# edit classifiers dscp ba-classifier
user@host# set import default
4. Defina ocho clases de reenvío (nombres de cola) para las ocho colas.
[edit class-of-service]
user@host# set interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier
[edit class-of-service]
user@host# set interfaces ge-0/0/3 unit 0 scheduler-map sched_1
7. Configure el mapa del programador para asociar los programadores a las clases de reenvío definidas.
[edit class-of-service]
user@host# set scheduler-maps sched_1 forwarding-class voip-data scheduler Q7
user@host# set scheduler-maps sched_1 forwarding-class control-data scheduler Q6
user@host# set scheduler-maps sched_1 forwarding-class web-data scheduler Q5
user@host# set scheduler-maps sched_1 forwarding-class res-class scheduler Q4
user@host# set scheduler-maps sched_1 forwarding-class af-class scheduler Q2
user@host# set scheduler-maps sched_1 forwarding-class ef-class scheduler Q1
user@host# set scheduler-maps sched_1 forwarding-class best-effort scheduler Q0
user@host# set scheduler-maps sched_1 forwarding-class network-control scheduler Q3
Resultados
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class best-effort {
loss-priority high code-points 000000;
}
forwarding-class ef-class {
loss-priority high code-points 000001;
}
forwarding-class af-class {
loss-priority high code-points 001010;
}
forwarding-class network-control {
loss-priority high code-points 000011;
}
forwarding-class res-class {
loss-priority high code-points 000100;
}
forwarding-class web-data {
loss-priority high code-points 000101;
}
forwarding-class control-data {
loss-priority high code-points 000111;
}
forwarding-class voip-data {
564
priority strict-high;
}
Q6 {
transmit-rate percent 25;
priority high;
}
Q5 {
transmit-rate {
remainder;
}
priority high;
}
Q4 {
transmit-rate percent 25;
priority medium-high;
}
Q3 {
transmit-rate {
remainder;
}
priority medium-high;
}
Q2 {
transmit-rate percent 10;
priority medium-low;
}
Q1 {
transmit-rate percent 10;
priority medium-low;
}
Q0 {
transmit-rate {
remainder;
}
priority low;
}
}
Configurar ICR
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike-policy {
mode main;
proposals ike-proposal;
569
Configuración de IPsec
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security ipsec traceoptions flag all
[edit]
user@host# set security ipsec proposal ipsec_prop
13. Especifica que el túnel se pondrá inmediatamente en funcionamiento para negociar asociaciones de
seguridad IPsec cuando llegue el primer paquete de datos que debe enviarse.
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ipsec
traceoptions {
flag all;
}
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256;
encryption-algorithm aes256-cbc;
}
proposal ipsec_prop {
lifetime-seconds 3600;
}
policy ipsec_pol {
proposals ipsec_prop;
}
573
vpn ipsec_vpn1 {
bind-interface st0.0;
multi-sa {
forwarding-class ef-class;
forwarding-class af-class;
forwarding-class res-class;
forwarding-class web-data;
forwarding-class control-data;
forwarding-class voip-data;
forwarding-class network-control;
forwarding-class best-effort;
}
ike {
gateway gw_sunnyvale;
ipsec-policy ipsec_pol;
}
traffic-selector ipsec_vpn1_TS1 {
local-ip 203.0.113.2/25;
remote-ip 192.0.2.30/24;
}
establish-tunnels immediately;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone trust to-zone vpn policy vpn match source-address sunnyvale
set security policies from-zone trust to-zone vpn policy vpn match destination-address chicago
set security policies from-zone trust to-zone vpn policy vpn match application any
set security policies from-zone trust to-zone vpn policy vpn then permit
set security policies from-zone vpn to-zone trust policy vpn match source-address chicago
set security policies from-zone vpn to-zone trust policy vpn match destination-address sunnyvale
574
set security policies from-zone vpn to-zone trust policy vpn match application any
set security policies from-zone vpn to-zone trust policy vpn then permit
Habilite las opciones de seguimiento de políticas de seguridad para solucionar problemas relacionados
con las políticas.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona VPN.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona VPN a la zona de confianza.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security policies
from-zone trust to-zone vpn {
575
policy vpn {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy vpn {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit;
}
}
}
Comproba
in this section
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index 131073 detail
los show security ipsec statistics index 131073 comandos y.
Para mayor brevedad, el comando mostrar resultados no muestra todos los valores de la configuración.
Solo se muestra un subconjunto de la configuración. El resto de la configuración del sistema ha sido
sustituida por puntos suspensivos (...).
Version: IKEv2
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 500, Nego#: 18, Fail#: 0, Def-Del#: 0 Flag: 0x600a39
Multi-sa, Configured SAs# 9, Negotiated SAs#: 9
Tunnel events:
Mon Apr 23 2018 22:20:54 -0700: IPSec SA negotiation successfully completed
(1 times)
Mon Apr 23 2018 22:20:54 -0700: IKE SA negotiation successfully completed (2
times)
Mon Apr 23 2018 22:20:18 -0700: User cleared IKE SA from CLI, corresponding
IPSec SAs cleared (1 times)
Mon Apr 23 2018 22:19:55 -0700: IPSec SA negotiation successfully completed
(2 times)
Mon Apr 23 2018 22:19:23 -0700: Tunnel is ready. Waiting for trigger event
or peer to trigger negotiation (1 times)
Mon Apr 23 2018 22:19:23 -0700: Bind-interface's zone received. Information
updated (1 times)
Mon Apr 23 2018 22:19:23 -0700: External interface's zone received.
Information updated (1 times)
Direction: inbound, SPI: 2d8e710b, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1563 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Multi-sa FC Name: default
Direction: outbound, SPI: 5f3a3239, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1563 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Multi-sa FC Name: default
Direction: inbound, SPI: 5d227e19, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1551 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
578
ESP Statistics:
Encrypted bytes: 952
Decrypted bytes: 588
Encrypted packets: 7
Decrypted packets: 7
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
AH authentication failures: 0, Replay errors: 0
ESP authentication failures: 0, ESP decryption failures: 0
Bad headers: 0, Bad trailers: 0
FC Name Encrypted Pkts Decrypted Pkts Encrypted bytes Decrypted bytes
best-effort 7 7 952
588
custom_q1 0 0 0
0
custom_q2 0 0 0
0
network-control 0 0 0
0
custom_q4 0 0 0
0
custom_q5 0 0 0
579
0
custom_q6 0 0 0
0
custom_q7 0 0 0
0
default 0 0 0
0
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El número de identificación es 131073. Utilice este valor con el comando show Security IPSec
Security-Associations index para obtener más información acerca de esta SA concreta.
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 1949/unlim indica que la duración de la fase caduca en 1949 segundos y que no
se ha especificado ningún LifeSize, lo que indica que es ilimitado.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
El show security ike security-associations index 131073 detail comando enumera información adicional
acerca de la SA con el número de índice 131073:
• La identidad local y la identidad remota constituyen el ID. de proxy de la SA. Una de las causas más
comunes de un fallo de fase son las diferencias entre los IDENTIFICADOres proxy. Si no aparece
ninguna asociación de IPsec, confirme que las propuestas de fase, incluida la configuración del ID de
proxy, son correctas para ambos interlocutores.
El show security ipsec statistics index 131073 comando muestra las estadísticas de cada uno de los
nombres de clase de reenvío.
• Es recomendable ejecutar este comando varias veces para observar cualquier problema de pérdida
de paquetes en una VPN. La salida de este comando también muestra las estadísticas de los
contadores de paquetes cifrados y descifrados, los contadores de errores, etc.
• Debe habilitar las opciones de seguimiento de flujo de seguridad para investigar qué paquetes ESP
tienen errores y por qué.
580
SEE ALSO
in this section
A partir de Junos OS Release 15.1 X49-D60 y Junos OS Release 17.3 R1, las funciones de clase de
servicio (CoS), como clasificador, policía, colas, planificación, creación de nuevas versiones, marcadores y
canales virtuales, ahora se pueden configurar en la interfaz de túnel seguro (st0) para VPN de punto a
punto.
La interfaz de túnel st0 es una interfaz interna que puede ser utilizada por VPN basadas en la ruta para
enrutar tráfico de texto sin cifrar a un túnel VPN de IPsec. Las funciones de CoS siguientes son
compatibles con la interfaz st0 en todos los dispositivos serie SRX y vSRX 2.0 disponibles:
• Clasificadores
• Las políticas
• Canales virtuales
A partir de Junos OS Release 15.1 X49-D70 y Junos OS Release 17.3 R1, se agrega soporte para
Queuing, programación, modelación y canales virtuales a la interfaz st0 para dispositivos de SRX5400,
SRX5600 y SRX5800. La compatibilidad con todas las funciones de la lista CoS se agrega a la interfaz st0
para los dispositivos SRX1500, SRX4100 y SRX4200. A partir de Junos OS versión 17.4 R1, se añade
soporte a las funciones enumeradas de CoS para la interfaz st0 para dispositivos SRX4600.
581
Las siguientes limitaciones se aplican a la compatibilidad con CoS en interfaces st0 de VPN:
• El número máximo para colas de software es el 2048. Si el número de interfaces st0 supera el 2048,
no se pueden crear suficientes colas de software para todas las interfaces del st0.
• Solo las redes VPN basadas en la ruta pueden aplicar funciones de CoS en interfaces st0. Tabla 53 en
la página 581 describe la compatibilidad de la característica st0 cos con los distintos tipos de VPN.
• En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550HM, una interfaz lógica de st0
puede enlazarse a varios túneles VPN. Las ocho colas para la interfaz lógica st0 no pueden
redireccionar el tráfico a diferentes túneles, por lo que no se admite el túnel previo.
La función del canal virtual puede utilizarse como solución en SRX300, SRX320, SRX340, SRX345 y
dispositivos SRX550HM.
582
• Al definir una velocidad de forma de CES en una interfaz de túnel st0, tenga en cuenta las siguientes
restricciones:
• La velocidad de forma de la interfaz de túnel debe ser inferior a la de la interfaz de salida física.
• La velocidad de modelación sólo mide el tamaño del paquete que incluye el paquete de texto de
capa 3 interno con un encabezado ESP/AH y una encapsulación de encabezado IP exterior. La
encapsulación exterior de capa 2 agregada por la interfaz física no se factoriza en la medida de la
velocidad de cambio.
• El comportamiento de CoS funciona de la manera esperada cuando la interfaz física sólo incluye el
tráfico de túnel IP o GRE en forma. Si la interfaz física incluye otro tráfico, con lo que se reduce el
ancho de banda disponible para el tráfico de interfaz de túnel, las funciones de co no funcionarán
de la manera esperada.
• En los dispositivos de SRX550M, SRX5400, SRX5600 y SRX5800, el límite de ancho de banda y los
valores límite del tamaño de ráfaga en una configuración de policía es una limitación no por sistema.
Éste es el mismo comportamiento de la policíaización que en la interfaz física.
SEE ALSO
release-history
release desc heading in release-history
heading in
release-history
17.4R1 A partir de Junos OS versión 17.4 R1, se añade soporte a las funciones enumeradas de CoS para
la interfaz st0 para dispositivos SRX4600.
15.1X49-D70 A partir de Junos OS Release 15.1 X49-D70 y Junos OS Release 17.3 R1, se agrega soporte
para Queuing, programación, modelación y canales virtuales a la interfaz st0 para dispositivos
de SRX5400, SRX5600 y SRX5800. La compatibilidad con todas las funciones de la lista CoS se
agrega a la interfaz st0 para los dispositivos SRX1500, SRX4100 y SRX4200.
15.1X49-D60 A partir de Junos OS Release 15.1 X49-D60 y Junos OS Release 17.3 R1, las funciones de clase
de servicio (CoS), como clasificador, policía, colas, planificación, creación de nuevas versiones,
marcadores y canales virtuales, ahora se pueden configurar en la interfaz de túnel seguro (st0)
para VPN de punto a punto.
583
VÍNCULOS RELACIONADOS
TDR-T
in this section
Ejemplo Configuración de una VPN basada en ruta solo con el contestador detrás de un dispositivo
TDR | 587
Ejemplo Configuración de una VPN basada en políticas con un iniciador y un respondedor detrás de un
dispositivo TDR | 629
Descripción TDR-T
TDR-T está habilitado de forma predeterminada, por lo tanto, debe usar la instrucción en el nivel
jerárquico para deshabilitar no-nat-traversal[edit security ike gateway gateway-name el TDR-T.
• TDR estática, donde hay una relación uno a uno entre las direcciones privada y pública. La TDR
estática funciona en direcciones tanto entrantes como salientes.
• TDR dinámico, donde hay una relación de varios a uno o varios a varios entre las direcciones públicas
y privadas. La TDR dinámica funciona únicamente en dirección de salida.
586
• Solo el iniciador IKEv1 o IKEv2 está detrás de un dispositivo TDR. Varios iniciadores pueden estar
detrás de dispositivos de TDR independientes. Los iniciadores también se pueden conectar al
interlocutor que responde a través de varios dispositivos TDR.
Punto de conexión dinámico VPN cubre la situación en la que el iniciador ICR dirección externa no es
fijo y, por lo tanto, el contestador no lo conoce. Esto puede ocurrir cuando un ISP asigna dinámicamente
la dirección del iniciador o cuando la conexión del iniciador atraviesa un dispositivo de TDR dinámico
que asigna direcciones de una agrupación dinámica de direcciones.
Los ejemplos de configuración de TDR-T se proporcionan para la topología en la que solo el contestador
se encuentra detrás de un dispositivo TDR y la topología en la que tanto el iniciador como el
contestador se encuentran detrás de un dispositivo TDR. La configuración de puerta de enlace ICR de
sitio a sitio para TDR-T es compatible tanto con el interlocutor inicial como con el interlocutor que
responde. Un ID de ICR remoto se usa para validar el ID de ICR local de un par durante la fase 1 de ICR
de túnel. Tanto el iniciador como el respondedor local-identity requieren una remote-identity y una
configuración.
• Para una dirección IP privada dada, el dispositivo TDR debe traducir los puertos privados 500 y 4500
a la misma dirección IP pública.
• El número total de túneles a partir de una dirección IP pública traducida no puede superar los 1000
túneles.
A partir de Junos OS versión 19.2 R1, PowerMode IPSec (PMI) para TDR-T sólo se admite en
dispositivos SRX5400, SRX5600 y SRX5800 equipados con SRX5K-SPC3 Services Process Card (SPC) o
con vSRX.
SEE ALSO
in this section
Aplicables | 587
Automática | 595
Comproba | 620
En este ejemplo se muestra cómo configurar una VPN basada en rutas con un respondedor detrás de un
dispositivo TDR para permitir que los datos se transfieran de manera segura entre una sucursal y la
oficina corporativa.
Aplicables
Antes de comenzar, lea Introducción a VPN de IPSec.
Descripción general
En este ejemplo, puede configurar una VPN basada en ruta para una sucursal de Chicago, Illinois, ya que
desea conservar los recursos de túnel pero aún así obtener restricciones granulares sobre el tráfico VPN.
Los usuarios de la oficina de Chicago utilizarán la red privada virtual para conectarse con sus sedes
empresariales en Sunnyvale, California.
588
Figura 43 en la página 589muestra un ejemplo de una topología para VPN basada en rutas con solo el
respondedor detrás de un dispositivo TDR.
589
Figura 43: Topología VPN basada en rutas con solo el respondedor detrás de un dispositivo TDR
590
En este ejemplo, puede configurar interfaces, opciones de enrutamiento, zonas de seguridad y políticas
de seguridad tanto para un iniciador de Chicago como para un contestador de Sunnyvale. A
continuación, configure ICR parámetros Phase 1 e IPsec Phase 2.
Los paquetes enviados desde el iniciador con una dirección de destino/32 se convierten en la dirección
de destino 71.1.1.1/32 del dispositivo de TDR.
Consulte Tabla 54 en la página 590 a Tabla 56 en la página 592 través de los parámetros de
configuración específicos que se utilizan para el iniciador en los ejemplos.
Tabla 54: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad para el iniciador
ge-0/0/3 33.1.1.1/24
Tabla 54: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad para el iniciador
(Continued)
Consulte Tabla 57 en la página 593 a Tabla 59 en la página 595 través de los parámetros de
configuración específicos que se utilizan para el contestador en los ejemplos.
593
Tabla 57: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad del contestador
ge-0/0/3 32.1.1.1/24
Tabla 57: Interfaz, opciones de enrutamiento, zonas y políticas de seguridad del contestador
(Continued)
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para configurar la interfaz, ruta estática, zona de seguridad y información de las políticas de seguridad:
[edit]
user@host# set interfaces ge-0/0/1 unit 0 family inet address 1.0.0.1/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 33.1.1.1/24
user@host# set interfaces st0 unit 1 family inet address 31.1.1.2/24
[edit]
user@host# set routing-options static route 32.1.1.0/24 next-hop st0.1
user@host# set routing-options static route 1.1.1.1/32 next-hop 1.0.0.2
[edit ]
user@host# set security zones security-zone untrust
5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit]
user@host# set security zones security-zone trust host-inbound-traffic protocols all
8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
Resultados
Desde el modo de configuración show interfaces, especifique los comandos, show routing-options,
show security zonesshow security address-book, y show security policiespara confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.0.0.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 33.1.1.1/24;
}
}
}
st0 {
unit 1 {
family inet {
address 31.1.1.2/24
}
}
}
[edit]
user@host# show routing-options
static {
route 32.1.1.0/24 next-hop st0.1;
600
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
st0.1;
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
[edit]
[edit]
user@host# show security address-book
book1 {
address Chicago-lan 33.1.1.1/24;
attach {
zone trust;
}
}
book2 {
address Sunnyvale-lan 32.1.1.1/24;
attach {
zone untrust;
601
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy to-sunnyvale {
match {
source-address Chicago-lan;
destination-address Sunnyvale-lan;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy from-sunnyvale {
match {
source-address Sunnyvale-lan;
destination-address Chicago-lan;
application any;
}
then {
permit;
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
602
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para
corregir la configuración.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
605
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text “$ABC123”;
}
gateway gw1 {
ike-policy ike_poly;
address 1.1.1.1;
local-identity user-at-hostname branch_natt1@example.net;
remote-identity user-at-hostname responder_natt1@example.net;
external-interface ge-0/0/1.0;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security ipsec proposal ipsec_prop
11. Especifica que el túnel debe mostrarse inmediatamente sin esperar a que se envíe un paquete de
comprobación.
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
608
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.1;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
proposals ipsec_prop;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para configurar la interfaz, la ruta estática, las zonas de seguridad, las directivas y las puertas de enlace:
[edit]
user@host# set interfaces ge-0/0/2 unit 0 family inet address 71.1.1.1/24
user@host# set interfaces ge-0/0/3 unit 0 family inet address 32.1.1.1/24
user@host# set interfaces st0 unit 1 family inet address 31.1.1.1/24
[edit]
user@host# set routing-options static route 0.0.0.0/0 next-hop 71.1.1.2
user@host# set routing-options static route 33.1.1.0/24 next-hop st0.1
610
[edit ]
user@host# set security zones security-zone untrust
5. Especifique los servicios del sistema permitidos para la zona de seguridad de no confianza.
[edit]
user@host# set security zones security-zone trust host-inbound-traffic protocols all
8. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
Resultados
Desde el modo de configuración show interfaces, especifique los comandos, show routing-options,
show security zonesshow security address-book, y show security policies para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/2 {
unit 0 {
family inet {
address 71.1.1.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 32.1.1.1/24;
}
}
}
st0 {
612
unit 1 {
family inet {
address 31.1.1.1/24
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 71.1.1.2;
route 33.1.1.0/24 next-hop st0.1;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/2.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
613
[edit]
user@host# show security address-book
book1 {
address Sunnyvale-lan 32.1.1.1/24;
attach {
zone trust;
}
}
book2 {
address Chicago-lan 33.1.1.1/24;
attach {
zone untrust;
}
}
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy to-chicago {
match {
source-address Sunnyvale-lan;
destination-address Chicago-lan;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy from-chicago {
match {
source-address Chicago-lan;
destination-address Sunnyvale-lan;
application any;
}
then {
permit;
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para
corregir la configuración.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
617
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode main;
proposals ike_prop;
pre-shared-key ascii-text “$ABC123”;
}
gateway gw1 {
ike-policy ike_pol;
address 1.0.0.1;
local-identity user-at-hostname "responder_natt1@example.net";
remote-identity user-at-hostname "branch_natt1@example.net";
external-interface ge-0/0/2.0;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set security ipsec proposal ipsec_prop
11. Especifica que el túnel debe mostrarse inmediatamente sin esperar a que se envíe un paquete de
comprobación.
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
620
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.1;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
Comproba
in this section
Purpose
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host de la red 33.1.1.0 a un host
de la red 32.1.1.0. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado por el
dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de IPsec, el
tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un
segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie una operación ping de 33.1.1.2 a
32.1.1.2.
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 500 se está
utilizando para la comunicación par a par.
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
El show security ike security-associations comando enumera información adicional acerca de las
asociaciones de seguridad:
• Duración de la fase 1
623
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
• Información de funciones
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 2532/unlim indica que la duración de la fase 2 caduca en 2532 segundos y que
no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede
diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
Purpose
Intervención
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 500 se está
utilizando para la comunicación par a par.
• Identidad local e identidad remota: compruebe que estas direcciones son correctas.
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
El show security ike security-associations comando enumera información adicional acerca de las
asociaciones de seguridad:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
• Información de funciones
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
627
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
, VPN Monitoring: -
Hard lifetime: Expires in 3523 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2923 seconds
Mode: Tunnel, Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 3571/unlim indica que la duración de la fase 2 caduca en 3571 segundos y que
no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede
diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
La salida del show security ipsec security-associations index index_iddetail comando muestra la
siguiente información:
Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si
no aparece ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la
configuración del ID del proxy, son correctas para ambos interlocutores. Para VPN basadas en la ruta,
el ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden
producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este
caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos
proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.
• Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede
completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.
629
SEE ALSO
in this section
Aplicables | 629
Automática | 637
Comproba | 668
Este ejemplo muestra cómo configurar una VPN basada en políticas con un iniciador y un respondedor
detrás de un dispositivo TDR para permitir que los datos se transfieran de manera segura entre una
sucursal y la oficina corporativa.
Aplicables
Antes de comenzar, lea Introducción a VPN de IPSec.
Descripción general
En este ejemplo, puede configurar una VPN basada en políticas para una sucursal de Chicago, Illinois, ya
que desea conservar los recursos de túnel, pero aún así obtener restricciones granulares sobre el tráfico
VPN. Los usuarios de la sucursal utilizarán la red VPN para conectarse a sus sedes corporativas en
Sunnyvale, California.
Figura 44 en la página 631 muestra un ejemplo de una topología para una VPN con un iniciador y un
respondedor detrás de un dispositivo TDR estático.
631
Figura 44: Topología VPN basada en políticas con un iniciador y un respondedor detrás de un
dispositivo TDR
632
En este ejemplo, se configuran interfaces, una ruta predeterminada IPv4 y zonas de seguridad. A
continuación, puede configurar ICR fase 1, incluidos los interlocutores locales y remotos, la fase 2 de
IPsec y la Directiva de seguridad. Nota: en el ejemplo anterior, la dirección IP privada del respondedor
13.168.11.1 está oculta por el dispositivo de TDR estático y está asignada a la dirección IP pública
1.1.100.1.
Consulte Tabla 60 en la página 632 a Tabla 63 en la página 634 través de los parámetros de
configuración específicos que se utilizan para el iniciador en los ejemplos.
ge-0/0/1 10.1.99.1/24
1.1.100.0/24 12.168.99.100
• destino cualquiera
• aplicación cualquier
Consulte Tabla 64 en la página 635 a Tabla 67 en la página 637 través de los parámetros de
configuración específicos que se utilizan para el contestador en los ejemplos.
635
ge-0/0/1 10.2.99.1/24
1.1.100.0/24 13.168.11.100
• destino cualquiera
• aplicación cualquier
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
[edit]
set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24
set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24
set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1
set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces ge-0/0/1.0
set security zones security-zone untrust interfaces ge-0/0/0.0
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24
user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24
[edit]
user@host# set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1
user@host# set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1
639
[edit ]
user@host# set security zones security-zone trust host-inbound-traffic protocols all
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba los show security zones comandos, y, si la salida no muestra la configuración deseada,
repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
640
family inet {
address 10.1.99.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.2.99.0/24 next-hop 12.168.99.1;
route 1.1.100.0/24 next-hop 12.168.99.1;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para
corregir la configuración.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
644
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# edit security ipsec proposal ipsec_prop
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group1;
}
proposals ipsec_prop;
}
vpn first_vpn {
ike {
gateway gate;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
647
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone trust to-zone untrust policy pol1 match source-address any
set security policies from-zone trust to-zone untrust policy pol1 match destination-address any
set security policies from-zone trust to-zone untrust policy pol1 match application any
set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn
set security policies from-zone untrust to-zone trust policy pol1 match application any
set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no
confianza.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de
confianza.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pol1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
from-zone untrust to-zone trust {
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet address 12.168.99.1/24
user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.23/24
2. Configurar zonas.
3. Configure TDR.
[edit routing-options
user@host# set static route 0.0.0.0/0 next-hop 1.1.100.22
Resultados
Desde el modo de configuración, escriba el show security nat comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para
corregir la configuración.
[edit]
user@host# show security nat
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
652
}
}
}
from-zone untrust to-zone trust {
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 12.168.99.1/24;
}
653
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.23/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.22;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
654
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24
user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24
[edit]
user@host# set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1
user@host# set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1
[edit]
user@host# set security zones security-zone trust host-inbound-traffic protocols all
6. Especifique los servicios del sistema permitidos para la zona de seguridad confianza.
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show
security zones para confirmar la configuración. Si el resultado no muestra la configuración deseada,
repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.100/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.2.99.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.1.99.0/24 next-hop 13.168.11.1;
route 1.1.100.0/24 next-hop 13.168.11.1;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/0.0;
}
}
656
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
9. Cree una puerta ICR de enlace de fase 1 y defina su nombre de host dinámico.
10. Cree una puerta de enlace ICR Phase 1 y defina su interfaz externa.
Resultados
Desde el modo de configuración, escriba el show security ike comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para
corregir la configuración.
[edit]
user@host# show security ike
proposal ike_prop {
authentication-method pre-shared-keys;
dh-group group2;
659
authentication-algorithm md5;
encryption-algorithm 3des-cbc;
}
policy ike_pol {
mode aggressive;
proposals ike_prop;
pre-shared-key ascii-text "$ABC123";
}
gateway gate {
ike-policy ike_pol;
dynamic hostname chicago;
external-interface ge-0/0/0.0;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit]
user@host# edit security ipsec proposal ipsec_prop
6. Establezca IPsec fase 2 para que utilice Grupo1 (confidencialidad directa perfecta).
Resultados
Desde el modo de configuración, escriba el show security ipsec comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show security ipsec
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_pol {
perfect-forward-secrecy {
keys group1;
}
proposals ipsec_prop;
}
vpn first_vpn {
ike {
gateway gate;
ipsec-policy ipsec_pol;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone trust to-zone untrust policy pol1 match source-address any
set security policies from-zone trust to-zone untrust policy pol1 match destination-address any
set security policies from-zone trust to-zone untrust policy pol1 match application any
set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn
set security policies from-zone untrust to-zone trust policy pol1 match application any
set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Cree la Directiva de seguridad para permitir el tráfico desde la zona de confianza a la zona de no
confianza.
2. Cree la Directiva de seguridad para permitir el tráfico desde la zona de no confianza hacia la zona de
confianza.
Resultados
Desde el modo de configuración, escriba el show security policies comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show security policies
from-zone trust to-zone untrust {
policy pol1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
from-zone untrust to-zone trust {
policy pol1 {
match {
application any;
}
then {
permit {
tunnel {
ipsec-vpn first_vpn;
}
}
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet address 13.168.11.1/24
user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.22/24
2. Configurar zonas.
3. Configure TDR.
[edit routing-options
user@host# set static route 0.0.0.0/0 next-hop 1.1.100.23
Resultados
Desde el modo de configuración, escriba el show security nat comando para confirmar la configuración.
Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para
corregir la configuración.
[edit]
user@host# show security nat
nat {
source {
rule-set ipsec {
from zone trust;
to zone untrust;
rule 1 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
667
permit;
}
}
}
from-zone untrust to-zone trust {
policy allow-all {
match {
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
}
interfaces {
ge-0/0/1.0;
}
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 13.168.11.1/24;
668
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.100.22/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.100.23;
}
Comproba
in this section
Purpose
Intervención
Antes de iniciar el proceso de verificación, debe enviar tráfico desde un host de la red 10.1.99.0 a un
host de la red 10.2.99.0. En el caso de las VPN basadas en la ruta, el tráfico puede ser iniciado por el
dispositivo serie SRX a través del túnel. Se recomienda que cuando se prueben los túneles de IPsec, el
tráfico de prueba se envíe desde un dispositivo independiente en un extremo de la VPN hacia un
segundo dispositivo del otro extremo de la VPN. Por ejemplo, inicie una operación ping de 10.1.99.2 a
10.2.99.2.
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 4500 se está
utilizando para la comunicación par a par.
• Ambos interlocutores del par IPsec SA utilizan el puerto 4500, que indica que se ha implementado
TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.)
• ID de ICR par: compruebe que el ID remoto (respondedor) es correcto. En este ejemplo, el nombre
de host es Sunnyvale.
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
El show security ike security-associations comando enumera información adicional acerca de las
asociaciones de seguridad:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
• Información de funciones
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
(1 times)
Wed Apr 08 2020
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer
(1 times)
Wed Apr 08 2020 19:03:26: Peer's IKE-ID validation failed during negotiation
(1 times)
Direction: inbound, SPI: aff3ac30, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1093 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 453 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 40539d12, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1093 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 453 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• Ambos interlocutores del par IPsec SA utilizan el puerto 4500, que indica que se ha implementado
TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.).
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 3390/Unlimited indica que la duración de la fase 2 caduca en 3390 segundos y
que no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2
puede diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está
activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
Purpose
Intervención
En modo operativo, escriba el show security ike security-associations comando. Después de obtener un
número de índice del comando, utilice show security ike security-associations index index_number
detail el comando.
Input packets: 6
Output packets: 6
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index detail más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP remota es correcta y que el puerto 4500 se está
utilizando para la comunicación par a par.
• ID ICR par: compruebe que el ID local para el par es correcto. En este ejemplo, el nombre de host
es Chicago.
• Las interfaces externas (la interfaz debe ser la que recibe los paquetes de ICR)
El show security ike security-associations comando enumera información adicional acerca de las
asociaciones de seguridad:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
• Información de funciones
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
En modo operativo, escriba el show security ipsec security-associations comando. Después de obtener
un número de índice del comando, utilice show security ipsec security-associations index
index_number detail el comando.
, VPN Monitoring: -
Hard lifetime: Expires in 930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 335 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• Ambos interlocutores del par IPsec SA utilizan el puerto 4500, que indica que se ha implementado
TDR-T. (TDR-T utiliza el puerto 4500 u otro puerto aleatorio de numeración alta.)
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor 3571/unlim indica que la duración de la fase 2 caduca en 3571 segundos y que
no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede
diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
• La supervisión de VPN no está habilitada para esta SA, como lo indica un guión en la columna LUN. Si
está habilitada la supervisión de VPN, U indica que la supervisión está en funcionamiento, y D indica
que la supervisión no está activa.
SEE ALSO
in this section
Aplicables | 679
679
Automática | 681
Comproba | 697
En este ejemplo se muestra cómo configurar una VPN basada en ruta donde el iniciador IKEv2 es un
extremo dinámico detrás de un dispositivo TDR.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
• Junos OS de la versión 12.1 X46-D10 o posterior para ofrecer compatibilidad con TDR de IKEv2 en T
Descripción general
En este ejemplo, se configura una VPN de IPsec entre la sucursal (iniciador IKEv2) y la sede central (el
respondedor IKEv2) para proteger el tráfico de red entre las dos ubicaciones. La sucursal se encuentra
detrás del dispositivo TDR. La dirección de la sucursal se asigna dinámicamente y es desconocida para el
contestador. El iniciador está configurado con la identidad remota del respondedor para la negociación
del túnel. Esta configuración establece una VPN de extremo dinámico entre los interlocutores de la TDR
dispositivo.
680
Figura 45 en la página 680muestra un ejemplo de una topología con TDR-Traversal (TDR-T) y VPN de
extremo dinámico.
• La identidad local configurada en el iniciador debe coincidir con la identidad de puerta de enlace
remota configurada en el contestador.
681
• Las opciones de las fases 1 y 2 deben coincidir entre el interlocutor inicial y el interlocutor que
responde.
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, el valor predeterminado de
nat-keepalive la opción configurada en el nivel de la [edit security ike gateway gateway-name] jerarquía
se ha cambiado de 5 a 20 segundos.
En los dispositivos SRX1400, SRX3400, SRX3600, SRX5600 y SRX5800, ICR las negociaciones que
impliquen TDR exploración transversal no funcionarán si el ICR del mismo nivel se encuentra detrás de
un TDR dispositivo que cambiará la dirección IP de origen de los paquetes de ICR durante la
negociación. Por ejemplo, si el dispositivo de TDR se configura con DIP, cambiará la dirección IP de
origen porque el protocolo ICR cambia el puerto UDP de 500 a 4500. (La compatibilidad con la
plataforma depende de la versión Junos OS de la instalación).
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 192.179.100.50/24
user@host# set ge-0/0/2 unit 0 family inet address 192.179.2.20/24
user@host# set st0 unit 0 family inet address 172.168.100.1/16
[edit routing-options]
user@host# set static route 192.179.1.0/24 next-hop st0.0
3. Configurar zonas.
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show routing-
optionsescriba show security zoneslos show security ikecomandos show security ipsec,, show security
policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración
de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.179.100.50/24;
}
}
685
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.179.2.20/24;
}
}
}
st0 {
unit 0 {
family inet {
address 172.168.100.1/16;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.179.1.0/24 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
686
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$ABC123”
}
gateway HQ_GW{
ike-policy IKE_POL;
address 100.10.1.50;
local-identity hostname branch.example.net;
external-interface ge-0/0/1.0;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn HQ_VPN {
bind-interface st0.0;
ike {
gateway HQ_GW;
ipsec-policy IPSEC_POL;
687
}
establish-tunnels immediately;
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
688
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 100.10.1.253/24
user@host# set fe-0/0/2 unit 0 family inet address 192.179.100.253/24
2. Configurar zonas.
3. Configure TDR.
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security
zonesescriba show security nat sourcelos comandos show security policies ,, y. Si el resultado no
689
muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para
corregirlo.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 100.10.1.253/24;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 192.179.100.253/24;
}
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
690
}
interfaces {
fe-0/0/2.0;
}
}
[edit]
user@host# show security nat source
rule-set DYNAMIC {
from zone untrust;
to zone trust;
rule R2R3 {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
2. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/1 gigether-options redundant-parent reth0
user@host# set ge-0/0/2 gigether-options redundant-parent reth1
user@host# set ge-8/0/1 gigether-options redundant-parent reth0
user@host# set ge-8/0/2 gigether-options redundant-parent reth1
user@host# set reth0 redundant-ether-options redundancy-group 1
user@host# set reth0 unit 0 family inet address 192.179.1.10/24
user@host# set reth1 redundant-ether-options redundancy-group 1
user@host# set reth1 unit 0 family inet address 100.10.1.50/24
user@host# set st0 unit 0 family inet address 172.168.100.2/16
[edit routing-options]
user@host# set static route 192.179.2.0/24 next-hop st0.0
user@host# set static route 192.179.100.0/24 next-hop 100.10.1.253
693
4. Configurar zonas.
Resultados
Desde el modo show chassis clusterde configuración, especifique los comandos, show interfaces, show
routing-optionsshow security zonesshow security ikeshow security ipsec,, y y show security policies ,
para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show chassis cluster
reth-count 5;
redundancy-group 1 {
node 0 priority 220;
node 1 priority 149;
interface-monitor {
ge-0/0/1 weight 255;
ge-8/0/1 weight 255;
ge-0/0/2 weight 255;
ge-8/0/2 weight 255;
}
}
[edit]
user@host# show interfaces
ge-0/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/2 {
gigether-options {
redundant-parent reth1;
}
695
}
ge-8/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/2 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.179.1.10/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 100.10.1.50/24;
}
}
}
st0 {
unit 0{
family inet {
address 172.168.100.2/16;
}
}
}
[edit]
user@host# show routing-options
static {
route 192.179.2.0/24 next-hop st0.0;
route 192.179.100.0/24 next-hop 100.10.1.253;
696
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
reth1.0;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text “$ABC123”
}
gateway Branch_GW {
697
ike-policy IKE_POL;
Comproba
in this section
Purpose
Intervención
Desde el modo operativo en el nodo 0, escriba el show security ike security-associations comando.
Después de obtener un número de índice del comando, utilice show security ike security-associations
detail el comando.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración.
• Índice: este valor es único para cada ICR SA, la cual puede usar en el comando para obtener show
security ike security-associations index index_id detail más información acerca de la SA.
• Dirección remota: compruebe que la dirección IP local es correcta y que el puerto 4500 se está
utilizando para la comunicación par a par.
• Identidad local e identidad remota: compruebe que estas direcciones son correctas.
• Las interfaces externas (la interfaz debe ser la que envía los paquetes de ICR)
El show security ike security-associations comando enumera información adicional acerca de las
asociaciones de seguridad:
• Duración de la fase 1
• Estadísticas de tráfico (puede utilizarse para verificar que el tráfico fluye correctamente en ambas
direcciones)
700
• Información de funciones
La solución de problemas se realiza mejor en el mismo nivel que usa el rol de respondedor.
Purpose
Intervención
Desde el modo operativo en el nodo 0, escriba el show security ipsec security-associations comando.
Después de obtener un número de índice del comando, utilice show security ipsec security-associations
detail el comando.
Efectos
La salida del show security ipsec security-associations comando muestra la siguiente información:
• El SPI, la duración (en segundos) y los límites de uso (o LifeSize en KB) se muestran para ambas
direcciones. El valor de duración indica que la duración de la fase 2 caduca en 7186 segundos y que
no se ha especificado ningún LifeSize, lo que indica que es ilimitado. La vigencia de la fase 2 puede
diferir de la de la fase 1, ya que la fase 2 no depende de la fase 1 después de que la VPN está activa.
La salida del show security ipsec security-associations index index_id detail comando muestra la
siguiente información:
Una de las causas más comunes de un error de fase 2 es que la coincidencia de ID proxy sea una. Si
no se muestra ninguna asociación de IPsec, confirme que las propuestas de la fase 2, incluida la
configuración del ID de proxy, coinciden para ambos interlocutores. Para VPN basadas en la ruta, el
ID. de proxy predeterminado es local = 0.0.0.0/0, Remote = 0.0.0.0/0 y Service = any. Pueden
producirse problemas con varias VPN basadas en rutas desde la misma IP del mismo nivel. En este
caso, debe especificarse un identificador de proxy único para cada SA de IPsec. Para algunos
proveedores distintos, el ID de proxy debe especificarse manualmente para que coincidan.
• Otra causa común del fallo de la fase 2 es no especificar el enlace de ST interface. Si IPsec no puede
completarse, compruebe el registro de KMD o establezca las opciones de seguimiento.
SEE ALSO
release-history
12.1X46-D10 A partir de Junos OS versión 12.1 X46-D10 y Junos OS Release 17.3 R1, el valor
predeterminado de nat-keepalive la opción configurada en el nivel de la [edit security ike
gateway gateway-name] jerarquía se ha cambiado de 5 a 20 segundos.
VÍNCULOS RELACIONADOS
VPN de grupo
Agrupar VPNv1
in this section
Ejemplo Configuración del servidor y los miembros del VPNv1 de grupo | 720
Ejemplo Configurar VPNv1 de grupo \ comunicación de miembro del servidor para mensajes de regeneración
de claves de unidifusión | 742
Ejemplo Configuración de VPNv1 de grupo \ comunicación del miembro del servidor para mensajes de
regeneración de claves de multidifusión | 744
Ejemplo Configurar VPNv1 de grupo con coubicación de miembros del servidor | 748
La VPN de grupo es un conjunto de características que son necesarias para proteger el tráfico de grupos
de multidifusión IP o el tráfico de unidifusión a través de una WAN privada que se origina o fluye a
través de un dispositivo.
in this section
Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red
privada virtual (VPN) que define las reglas que se utilizarán para los algoritmos de autenticación y
cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con las
implementaciones de VPN actuales, la SA es un túnel punto a punto entre dos dispositivos de seguridad.
706
Grupo VPNv1 extiende la arquitectura IPsec para admitir las asociaciones de seguridad que comparten
un grupo de dispositivos, Figura 46 en la página 707(consulte).
707
El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. Con
VPNv1 de grupo, la conectividad de cualquier medio a cualquier se consigue conservando las
708
A partir de Junos OS versión 12.3 X48-D30, Group VPNv1 Members puede interoperar con servidores
VPNv2 Group.
El grupo VPNv1 tiene algunas limitaciones de propiedad con respecto a RFC 6407, El dominio de
interpretación de grupo (GDOI). Para usar la VPN del grupo sin limitaciones patentadoras, actualice al
grupo VPNv2. El grupo VPNv2 se admite en las instancias de vSRX que comienzan por Junos OS versión
15.1-D30, serie SRX los dispositivos que comienzan con Junos OS Release 15.1 X49-D40 y los
dispositivos de la serie MX a partir de Junos OS Release 15.1 R2.
El grupo VPNv1 se basa en RFC 3547, El dominio de interpretación de grupo (GDOI). Esta RFC describe
el protocolo entre miembros del grupo y un servidor de grupo para establecer asociaciones de la SA
entre los miembros del grupo. GDOI los mensajes crean, mantienen o eliminan las SA para un grupo de
dispositivos. El protocolo GDOI se ejecuta en el puerto 848.
Con la VPN de grupo, la negociación DE SA ISAKMP de fase 1 se lleva a cabo entre un servidor de grupo
y un miembro del grupo. El servidor y el miembro deben utilizar la misma directiva ISAKMP. En la fase 2,
los intercambios de GDOI entre el servidor y el miembro establecen las AS que se comparten con otros
miembros del grupo. Un miembro del grupo no necesita negociar el IPsec con otros miembros del grupo.
Los intercambios de GDOI en la fase 2 deben estar protegidos por AS ISAKMP de fase 1.
• El groupkey-pull intercambio permite que un miembro solicite SAS y claves compartidas por el grupo
desde el servidor.
• Clúster de chasis
• Clústeres de servidores
• SNMP
A partir de Junos OS versión 12.3 X48-D30, los miembros del grupo VPNv1 en SRX100, SRX110,
SRX210, SRX220, SRX240, SRX550 y los dispositivos SRX650 pueden interoperar con servidores
VPNv2 de grupo. Cuando configure miembros de VPNv1 de grupo para usarlos con servidores VPNv2
de grupos, tenga en cuenta las limitaciones siguientes:
• El servidor VPNv2 de grupo no admite la coubicación, donde las funciones de servidor y miembro de
grupo del grupo se encuentran en el mismo dispositivo.
• Los mensajes de inserción en clave de grupo enviados desde el servidor group VPNv2 se basan en
RFC 6407, El dominio de interpretación de grupo (GDOI) y no se admiten en miembros del grupo
VPNv1. Por lo tanto, los mensajes de inserción de groupkey deben estar deshabilitados en deactivate
security group-vpn server group group-name server-member-communication el grupo VPNv2
servidor con el comando.
Las claves se admiten con mensajes groupkey-pull. Si hay problemas de escalabilidad en los que los
miembros de VPNv1 de grupo no pueden completar la operación de groupkey antes de que expire la
TEK dura, recomendamos aumentar la duración de TEK para permitir un tiempo suficiente para que
los miembros completen la operación de groupkey-pull. Juniper de escalamiento de Juniper están
calificados con una duración de TEK de 2 horas.
• Si el grupo VPNv2 del servidor se reinicia o se actualiza, o bien se borran las SA del grupo, no es
posible agregar nuevos miembros a la red hasta que no se produzca la siguiente regeneración de
710
claves para los miembros existentes. Los nuevos miembros no pueden enviar tráfico a los miembros
existentes que tienen claves antiguas. Como solución, borre las SA del grupo existente VPNv1 los
miembros con el clear security group-vpn member ipsec security-associations comando.
• Dado que los miembros del VPNv2 de grupo no admiten el tráfico de datos de multidifusión, no se
puede usar el tráfico de datos de multidifusión cuando los miembros del grupo VPNv1 y el grupo
VPNv2 coexisten en la red para el mismo grupo.
El centro de una VPN de grupo es el servidor de grupo. El servidor de grupo realiza las tareas siguientes:
• Administra las SA del grupo y las claves, y las distribuye a los miembros del grupo
Los miembros del grupo cifran el tráfico en función de las SA y las claves del grupo que proporciona el
servidor del grupo.
Un servidor de grupo puede atender A varios grupos. Un único dispositivo de seguridad puede ser
miembro de varios grupos.
Cada grupo se representa mediante un identificador de grupo, que es un número comprendido entre 1 y
65.535. El servidor del grupo y los miembros del grupo se vinculan conjuntamente por el identificador
de grupo. Solo puede haber un identificador de grupo por grupo, y varios grupos no pueden usar el
mismo identificador de grupo.
A continuación se muestra una vista de alto nivel del servidor VPN de grupo y las acciones de los
miembros:
1. El servidor del grupo escucha en el puerto UDP 848 a fin de que los miembros se registren. Un
dispositivo miembro debe proporcionar una autenticación ICR fase 1 correcta para unirse al grupo. Se
admite la autenticación de clave previamente compartida para una base por miembro.
2. Tras una autenticación y un registro exitosos, el dispositivo miembro recupera las claves y los SA del
grupo del groupkey-pull servidor con un intercambio GDOI.
El servidor envía periódicamente SA y actualizaciones de clave a los miembros del grupo con mensajes
de groupkey-pushregeneración de claves (GDOI). Los mensajes de regeneración de claves se envían
antes de que las SA expiren; Esto garantiza que las claves válidas estén disponibles para el cifrado de
tráfico entre los miembros del grupo.
711
El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los
miembros cuando se produce un cambio en la pertenencia a grupos o cuando la Asociación de grupo ha
cambiado.
El grupo VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650. La
comunicación entre el servidor y el miembro permite que groupkey-push el servidor envíe GDOI
mensajes de correo a los miembros. Si la comunicación del servidor o miembro no está configurada para
el grupo, groupkey-pull los miembros pueden enviar mensajes de GDOI para registrarse y volver a
registrar con el servidor, pero el servidor no podrá enviar mensajes de regeneración de claves a los
miembros.
• Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede
especificar 3DES-CBC, AES-128-CBC, AES-192-CBC, AES-256-CBC o des-CBC. No hay ningún
algoritmo predeterminado.
• Algoritmo de autenticación (MD5 o SHA1) que se utiliza para autenticar el miembro en el servidor.
No hay ningún algoritmo predeterminado.
• Intervalo de tiempo en el que el servidor envía mensajes de latido al miembro del grupo. Esto permite
que el miembro determine si el servidor se ha reiniciado, lo que requeriría que el miembro se volvera
a registrar con el servidor. El valor predeterminado es 300 segundos.
La configuración de la comunicación entre miembros del servidor es necesaria para que el servidor de
grupo envíe mensajes de regeneración de claves a los miembros, pero puede haber situaciones en las
que no se desee este comportamiento. Por ejemplo, si los miembros del grupo son homólogos dinámicos
(como en una oficina doméstica), los dispositivos no siempre están en funcionamiento y la dirección IP
de un dispositivo puede ser diferente cada vez que se enciende. La configuración de la comunicación
entre miembros del servidor para un grupo de pares dinámicos puede ocasionar transmisiones
innecesarias del servidor. Si desea que ICR negociación de SA de fase 1 se realice siempre para proteger
la negociación de GDOI, no configure la comunicación entre miembros del servidor.
configura la comunicación entre miembros del servidor para un grupo, la lista de pertenencia a grupos se
borra. Si el tipo de comunicación se configura como unidifusión, show security group-vpn server
registered-members el comando muestra sólo los miembros activos. Si el tipo de comunicación está
configurado como multidifusión show security group-vpn server registered-members , el comando
muestra miembros que se han registrado con el servidor después de la configuración; la lista de
pertenencias no representa necesariamente los miembros activos porque los miembros pueden
descartarse después del registro.
Claves de grupo
El servidor de grupo mantiene una base de datos para hacer un seguimiento de la relación entre grupos
VPN, miembros de grupo y claves de grupo. Existen dos tipos de claves de grupo que el servidor
descarga a los miembros:
• Clave de cifrado de clave (KEK): se usa para cifrar los mensajes de reclave. Se admite un KEK por
grupo.
• Clave de cifrado de tráfico (TEK): se usa para cifrar y descifrar el tráfico de datos IPsec entre
miembros del grupo.
Un miembro del Grupo acepta la clave asociada con una SA solo si existe una directiva de ámbito
coincidente configurada en el miembro. Se ha instalado una clave aceptada para el grupo VPN, mientras
que una clave rechazada se descarta.
El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los
miembros cuando se produce un cambio en la pertenencia a un grupo o cuando la SA del grupo ha
cambiado (por ejemplo, cuando se agrega o se elimina una directiva de grupo).
Las opciones de comunicación del miembro del servidor deben estar configuradas en el servidor para
permitir que el servidor envíe mensajes de regeneración de claves a los miembros del grupo. Estas
opciones especifican el tipo de mensaje y los intervalos en los que se envían, tal y como se explica en las
secciones siguientes:
713
• Mensajes de reclave de unidifusión: el servidor de grupo envía una copia del mensaje de reclave a
cada miembro del grupo. Una vez recibido el mensaje de regeneración de claves, los miembros deben
enviar una confirmación (ACK) al servidor. Si el servidor no recibe una confirmación de un miembro
(incluida la retransmisión de mensajes de regeneración de claves), el servidor considera que el
miembro está inactivo y lo quita de la lista de integrantes. El servidor deja de enviar mensajes de
regeneración de claves al miembro.
• Mensajes de reclame multidifusión: el servidor de grupo envía una copia del mensaje de reclame
desde la interfaz de salida especificada a la dirección de grupo de multidifusión configurada. Los
miembros no envían confirmación de la recepción de mensajes de regeneración de claves de
multidifusión. La lista de pertenencia registrada no representa necesariamente los miembros activos
porque los miembros pueden descartarse después del registro inicial. Todos los miembros del grupo
deben estar configurados para admitir mensajes de multidifusión.
El intervalo en el que el servidor envía los mensajes de regeneración de claves se calcula en lifetime-
seconds función activation-time-delay de los valores de lasedit security group-vpn server
groupinstrucciones de configuración y en la jerarquía []. El intervalo se calcula como lifetime-seconds
minus 4*(activation-time-delay) .
El lifetime-seconds para el KEK se configura como parte de las comunicaciones entre miembros del
servidor; el valor predeterminado es 3600 segundos. El lifetime-seconds de Tek está configurado para la
propuesta de IPSec; el valor predeterminado es 3600 segundos. El activation-time-delay está
configurado para el grupo en el servidor; el valor predeterminado es 15 segundos. Utilice los valores
predeterminados para y , el intervalo en el que el servidor envía mensajes lifetime-secondsactivation-
time-delay de reclave es 3600 minus 4*15 , o 3540 segundos.
Registro de miembro
Si un miembro del grupo no recibe una nueva clave de SA del servidor antes de que caduque la clave
actual, el miembro debe volver a registrarse con el servidor y obtener claves actualizadas groupkey-pull
con un intercambio GDOI. En este caso, el intervalo en el que el servidor envía los mensajes de
regeneración de claves se calcula de la siguiente manera: lifetime-secondsmenos 3 * (activation-time-
delay). Si se utilizan los valores lifetime-seconds predeterminados para y activation-time-delay, el
intervalo en el que el servidor envía los mensajes de regeneración de claves es 3600 menos 3 * 15 ó
3555 segundos.
714
• El miembro detecta un reinicio del servidor debido a la ausencia de latidos recibidos del servidor.
Activación de claves
Cuando un miembro recibe una nueva clave del servidor, espera un período de tiempo antes de usar la
clave para el cifrado. Este periodo de tiempo lo determina la activation-time-delay declaración de
configuración y si la clave se recibe a través de un mensaje de regeneración de claves enviado desde el
servidor o como resultado de que el miembro vuelva a registrarse con el servidor.
Un miembro conserva las dos claves más recientes enviadas desde el servidor para cada SA de grupo
instalado en el miembro. Ambas claves se pueden utilizar para el descifrado, mientras que la clave más
reciente se utiliza para el cifrado. La clave anterior se quita el número de segundos especificado por el
activation-time-delay valor después de activar la nueva clave.
Un servidor VPNv1 de grupo puede enviar varias claves de cifrado de tráfico (TEKs) a un grupo VPNv1
miembro groupkey-pull en respuesta a una solicitud. A continuación, se describe cómo el miembro
VPNv1 de grupo controla las TEK existentes y el TEKs que recibe del servidor:
• Si el miembro VPNv1 del grupo recibe dos o más TEKs, contiene las dos TEKs más recientes y elimina
el TEK existente. De las dos TEKs, el TEK antiguo se activa inmediatamente y el TEK más reciente se
activa después de que activation-time-delay haya configurado en el grupo VPNv1 servidor (el valor
predeterminado es 15 segundos).
• Si el miembro VPNv1 del grupo recibe una sola TEK o si recibe un TEK a través de groupkey-push un
mensaje del servidor, el Tek existente no se eliminará hasta que la duración del disco duro expire. La
duración no se acorta para el TEK existente.
El miembro VPNv1 del grupo sigue instalando un TEK recibido incluso si la duración TEK es inferior a
dos veces activation-time-delay el valor.
715
Cuando se configura la comunicación entre miembros del servidor, el servidor VPNv1 de grupos envía
mensajes de latido a los miembros en intervalos específicos (el intervalo predeterminado es de 300
segundos). El mecanismo de latido permite que los miembros vuelvan a registrarse en el servidor si no se
recibe el número especificado de latidos. Por ejemplo, los miembros no recibirán mensajes de latido
durante un reinicio del servidor. Cuando el servidor se ha reiniciado, los miembros se vuelve a registrar
con el servidor.
Los mensajes de latido pueden aumentar la congestión de la red y provocar registros de miembros
innecesarios. Por lo tanto, la detección de latidos puede deshabilitarse en el miembro si es necesario.
Las funciones miembro de agrupación y servidor son independientes y no se superponen. Las funciones
de servidor y miembro pueden coexistir en el mismo dispositivo físico, lo que se denomina modo de
coubicación. En el modo de coubicación, no se produce ningún cambio en cuanto a la funcionalidad y
comportamiento del servidor o de un miembro, sino que el servidor y el miembro deben tener asignados
direcciones IP diferentes para que los paquetes se puedan entregar correctamente. En el modo de
coubicación, sólo puede haber una dirección IP asignada al servidor y una dirección IP asignada al
miembro entre varios grupos.
SEE ALSO
Este tema describe las tareas principales para configurar VPNv1 de grupo.
1. ICR fase 1. Utilice la jerarquía [ edit security group-vpn server ike ] para configurar la sa ICR fase 1.
Consulte Descripción de ICR configuración de la fase 1 para VPNv2 de grupo .
2. SA IPsec de fase 2. Consulte Descripción de la configuración de Asociación de IPSec para el grupo
VPNv1.
3. Grupo VPN. Consulte Descripción general de la configuración del grupo VPNv1.
1. ICR fase 1. Utilice la jerarquía [ edit security group-vpn member ike ] para configurar una SA ICR fase
1. Consulte Descripción de ICR configuración de la fase 1 para VPNv1 de grupo .
3. Directiva de ámbito que determina qué directivas de grupo están instaladas en el miembro. Consulte
Understanding Dynamic Policies for Group VPNv1.
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por el
miembro del grupo para conectarse a la red MPLS esté configurada para un tamaño unidad máxima de
transmisión (MTU) no superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración
para establecer el tamaño de MTU.
El grupo de VPN se configura en el servidor con group la instrucción de configuración enedit security
group-vpn serverla jerarquía [].
• Identificador de grupo: un valor entre 1 y 65.535 que identifica al grupo VPN. Se debe configurar el
mismo identificador de grupo en el miembro del grupo para Autokey ICR.
• Miembros del grupo, como se ha ike-gateway configurado con la instrucción de configuración. Puede
haber varias instancias de esta instrucción de configuración, una por cada miembro del grupo.
• Políticas de grupo: políticas que se deben descargar a los miembros. Las directivas de grupo
describen el tráfico al que se aplican la SA y las claves. Consulte Understanding Dynamic Policies for
Group VPNv1.
• Comunicación entre miembros del servidor: configuración opcional que permite al servidor enviar
mensajes de reclave a los miembros. Consulte Group VPNv1 Overview.
717
Una SA ICR fase 1 entre el servidor del grupo y un miembro del grupo establece un canal seguro en el
que negociar SA de IPSec que son compartidas por un grupo. Para VPN IPsec estándar en Juniper
Networks dispositivos de seguridad, la configuración de SA de fase 1 consiste en especificar ICR
propuesta, política y puerta de enlace. Para el grupo VPNv1, la configuración de SA ICR fase 1 es similar
a la configuración para VPN IPsec estándar, pero se realiza en la jerarquía [ edit security group-vpn ].
Dado que VPNv2 de grupo solo admite algoritmos seguros sha-256 , la opción de algoritmo de
autenticación se admite para los miembros del grupo VPNv1 en SRX100, SRX110, SRX210, SRX220,
SRX240, SRX550 y en los dispositivos de SRX650. Cuando los miembros del grupo VPNv1 interoperen
con servidores del grupo VPNv2, esta opción debe estar configurada en edit security group-vpn
member ike proposal proposal-name authentication-algorithm sha-256 el grupo VPNv1 miembros con
el comando. En el servidor VPNv2 del grupo authentication-algorithm sha-256 , deben configurarse
para propuestas authentication-algorithm hmac-sha-256-128 de ICR y deben configurarse para
propuestas IPSec.
Si una puerta de enlace de ICR en un miembro de grupo VPNv1 está configurado con más de una
dirección de puerta de enlace, se muestra el mensaje de error "Solo se permite configurar una dirección
remota por configuración de puerta de enlace ICR" cuando se confirma la configuración.
La ICR de fase 1 en el servidor de grupo debe coincidir con la configuración ICR fase 1 de los miembros
del grupo.
• Una propuesta para el protocolo de seguridad, autenticación y algoritmo de cifrado que se utilizará
para la SA. La propuesta de Asociación de IPSec se configura en el servidor de proposal grupo con la
instrucción deedit security group-vpn server ipsecconfiguración en la jerarquía [].
• Una directiva de grupo que hace referencia a la propuesta. Una directiva de grupo especifica el
tráfico (Protocolo, dirección de origen, Puerto de origen, dirección de destino y puerto de destino) al
que se aplican la SA y las claves. La Directiva de grupo se configura en el servidor con ipsec-sa la
instrucción de configuración enedit security group-vpn server group la jerarquía [].
• Una ICR Autokey que hace referencia al identificador de grupo, el servidor de grupo (configurado ike-
gateway con la instrucción de configuración) y la interfaz utilizada por el miembro para conectarse al
grupo. La ICR Autokey se configura en el miembro con la ipsec vpn instrucción de configuración en
laedit security group-vpn memberjerarquía [].
El servidor de grupo distribuye las asociaciones de as y las claves del grupo a los miembros de un grupo
especificado. Todos los miembros que pertenecen al mismo grupo pueden compartir el mismo conjunto
de SA de IPsec. No obstante, no todas las SA configuradas para un grupo se instalan en todos los
miembros del grupo. La SA instalada en un miembro específico lo determina la directiva asociada con el
grupo SA y las políticas de seguridad configuradas en el miembro.
En un grupo de VPN, cada SA de grupo y la clave que el servidor inserta en un miembro se asocia con
una directiva de grupo. La Directiva de grupo describe el tráfico del que debe utilizarse la clave, incluidos
el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino.
Las directivas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino,
Puerto de origen, Puerto de destino y valores de protocolo) no pueden existir para un único grupo. Si
intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo, se
devuelve un error. Si este es el caso, debe eliminar una de las políticas de grupo idénticas.
En un miembro del grupo, debe configurarse una directiva de ámbito que defina el ámbito de la Directiva
de grupo descargada del servidor. Una directiva de grupo distribuida desde el servidor se compara con
las directivas de ámbito configuradas en el miembro. Para instalar una directiva de grupo en el miembro,
deben cumplirse las siguientes condiciones:
Una directiva de ámbito puede formar parte de una lista ordenada de políticas de seguridad para un
contexto específico de zona y a zona. Junos OS realiza una búsqueda de políticas de seguridad en los
paquetes entrantes empezando por la parte superior de la lista ordenada.
• Si el paquete entrante coincide con una directiva de seguridad antes de que se considere la Directiva
de ámbito, no se realiza la búsqueda dinámica de políticas.
• Si una directiva entrante coincide con una directiva de ámbito, el proceso de búsqueda continúa para
una directiva dinámica coincidente. Si hay una directiva dinámica coincidente, se realiza la acción de
directiva (permit). Si no hay ninguna directiva dinámica coincidente, el proceso de búsqueda sigue
buscando las directivas debajo de la Directiva de ámbito.
En esta versión, solo se tunnel permite la acción de una directiva de ámbito. No se admiten otras
acciones.
Para configurar una directiva de ámbito en un miembro del grupo, policies utilice la instrucción de
configuraciónedit securityen la jerarquía []. Utilice la ipsec-group-vpn instrucción de configuración en la
regla permitir túnel para hacer referencia al grupo VPN; Esto permite a los miembros del Grupo
compartir una sola SA.
SEE ALSO
Antireplay es una característica de IPsec que puede detectar cuándo un paquete es interceptado y lo
reproducen los intrusos. Antireplay está habilitada de forma predeterminada para VPN de grupo, pero
puede deshabilitarse no-anti-replay para un grupo con la instrucción de configuración.
Cuando antireplay está habilitado, el servidor de grupo sincroniza el tiempo entre los miembros del
grupo. Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de
hora del paquete se encuentra dentro del valor configurado (el valor predeterminado anti-replay-time-
window es de 100 segundos). Un paquete se descarta si la marca de hora supera el valor.
720
SEE ALSO
in this section
Aplicables | 720
Automática | 722
Comproba | 739
En este ejemplo se muestra cómo configurar VPNv1 de grupo para ampliar la arquitectura IPsec de
modo que admita las asociaciones de seguridad compartidas por un grupo de dispositivos. El grupo
VPNv1 se admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
Aplicables
Antes de empezar:
• Configure las interfaces de red en los dispositivos miembro y servidor. Consulte la Guía del usuario
de interfaces para los dispositivos de seguridad.
721
Descripción general
En Figura 47 en la página 721, una VPN de grupo se compone de dos dispositivos miembro (member1
y miembro2) y un servidor de grupo (la dirección IP de la interfaz de bucle invertido en el servidor es
20.0.0.1). El identificador de grupo es 1.
Las SA de VPN del grupo fase 2 deben estar protegidas por una SA de fase 1. Por lo tanto, la
configuración de VPN de grupo debe incluir la configuración de ICR negociaciones de fase 1 tanto en el
servidor de grupo como en los miembros del grupo. Además, debe configurarse el mismo identificador
de grupo tanto en el servidor del grupo como en los miembros del grupo.
Las directivas de grupo se configuran en el servidor de grupo. Todas las directivas de grupo configuradas
para un grupo se descargan en miembros del grupo. Las políticas de ámbito configuradas en un miembro
del grupo determinan qué directivas de grupo se instalan realmente en el miembro. En este ejemplo, las
siguientes directivas de grupo se configuran en el servidor del grupo para descargarlas en todos los
miembros del Grupo:
El dispositivo member1 se configura con políticas de ámbito que permiten todo el tráfico de unidifusión
hacia y desde la subred 10.0.0.0/8. No hay ninguna directiva de ámbito configurada en member1 para
permitir el tráfico de multidifusión; por lo tanto, la Directiva de SA P3 no está instalada en member1.
El dispositivo miembro2 está configurado con directivas de ámbito que quitan el tráfico del 10.1.0.0/16
de la zona de confianza a la zona de no confianza y 10.1.0.0/16 de la zona de no confianza a la zona de
confianza. Por tanto, la Directiva de SA P2 no está instalada en miembro2.
722
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit]
user@host# edit interfaces
user@host# set lo0 unit 0 family inet address 20.0.0.1/32
2. Configure ICR SA de fase 1 (esta configuración debe coincidir con la SA de fase 1 configurada en los
miembros del grupo).
7. Configure las directivas de grupo que se van a descargar en miembros del grupo.
Resultados
Desde el modo de configuración, escriba el show security group-vpn server comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security group-vpn server
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
726
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
Configurando Member1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
727
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por los
miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no
superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el
tamaño de MTU.
5. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que permita
el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
6. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que permita
el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
Resultados
Desde el modo de configuración, escriba los show security group-vpn member comandos y show
security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada,
repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@member1# show security group-vpn member
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
730
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member1# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
731
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Configura Miembro2
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
10_subnet
set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address
multicast-net
set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any
set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-
vpn v2
set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security
policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies
from-zone untr
set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16
set security policies from-zone untrust to-zone trust policy deny2 match application any
set security policies from-zone untrust to-zone trust policy deny2 then reject
set security policies from-zone untrust to-zone trust policy scope2 match source-address 10_subnet
set security policies from-zone untrust to-zone trust policy scope2 match destination-address 10_subnet
set security policies from-zone untrust to-zone trust policy scope2 match application any
set security policies from-zone untrust to-zone trust policy scope2 then permit tunnel ipsec-group-vpn v2
set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address
10_subnet
set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address
multicast-net
set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any
set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-
vpn v2
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por los
miembros del grupo para conectarse a la red MPLS esté configurada para un tamaño de MTU no
superior a 1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el
tamaño de MTU.
6. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que bloquee
el tráfico desde 10.1.0.0/16.
7. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que bloquee
el tráfico en 10.1.0.0/16.
Resultados
Desde el modo de configuración, escriba los show security group-vpn member comandos y show
security policies para confirmar la configuración. Si el resultado no muestra la configuración deseada,
repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@member2# show security group-vpn member
ike {
proposal prop2 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol2 {
mode main;
736
proposals prop2;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g2 {
ike-policy pol2;
address 20.0.0.1;
local-address 10.2.0.1;
}
}
ipsec {
vpn v2 {
ike-gateway g2;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member2# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy deny2 {
match {
source-address 10_1_0_0_16;
destination-address any;
application any;
}
then {
reject;
}
737
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny2 {
match {
738
source-address any;
destination-address 10_1_0_0_16;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
739
deny;
}
}
}
Comproba
in this section
Purpose
Intervención
Después de que el servidor del grupo descarga claves a member1 show security dynamic-policies ,
escriba el comando desde el modo operativo.
Efectos
La Directiva de multidifusión P3 desde el servidor no está instalada en member1 porque no hay ninguna
directiva de ámbito configurada en member1 que permita el tráfico de multidifusión.
Purpose
Intervención
Una vez que el servidor del grupo descarga las claves en show security dynamic-policies miembro2,
escriba el comando en el modo operativo.
Efectos
SEE ALSO
in this section
Aplicables | 742
Automática | 743
Comproba | 744
En este ejemplo se muestra cómo habilitar el servidor para enviar mensajes de regeneración de claves de
unidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el
tráfico entre los miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110,
SRX210, SRX220, SRX240 y SRX650.
Aplicables
Antes de empezar:
• Configure el servidor del grupo y los miembros para ICR negociación de la fase 1.
Descripción general
En este ejemplo, se especifican los siguientes parámetros de comunicación del miembro de g1servidor
para el Grupo:
• El servidor envía mensajes de regeneración de claves de unidifusión a los miembros del grupo.
Los valores predeterminados se utilizan para los latidos del servidor, la duración KEK y las
retransmisiones.
Automática
in this section
Modalidades | 743
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server
group g1 server-member-communication comando.
SEE ALSO
in this section
Aplicables | 744
Automática | 745
Comproba | 747
En este ejemplo se muestra cómo habilitar el servidor para que envíe mensajes de cambio de clave de
multidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el
tráfico entre los miembros del grupo. El grupo VPNv1 se admite en dispositivos SRX100, SRX110,
SRX210, SRX220, SRX240 y SRX650.
Aplicables
Antes de empezar:
745
• Configure el servidor del grupo y los miembros para ICR fase 1 y la SA IPsec de fase 2. Consulte
ejemplo: Configuración del servidor y los miembros del grupo VPNv1 o ejemplo: Configurando
VPNv1 de grupo con la coubicaciónde miembros del servidor.
• Configure GE-0/0/1.0, que es la interfaz que utilizará el servidor para enviar mensajes de
multidifusión. Consulte Junos os biblioteca de protocolos de enrutamiento.
Descripción general
En este ejemplo, se especifica la siguiente comunicación del miembro de servidor para g1el Grupo:
• El servidor envía mensajes de regeneración de claves de multidifusión a los miembros del grupo por
medio de 226.1.1.1 de direcciones de multidifusión y interface GE-0/0/1.0.
Los valores predeterminados se utilizan para los latidos del servidor, la duración KEK y las
retransmisiones.
Automática
in this section
Modalidades | 745
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
746
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
Resultados
Desde el modo de configuración, escriba el show security group-vpn server group g1 server-member-
communication comando para confirmar la configuración. Si el resultado no muestra la configuración
deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show security group-vpn server group g1 server-member-communication
communication-type multicast;
multicast-group 226.1.1.1;
multicast-outgoing-interface ge-0/0/1.0;
encryption-algorithm 3des-cbc;
sig-hash-algorithm sha1;
Comproba
in this section
Purpose
Compruebe que los parámetros de comunicación del miembro de servidor para el mensaje de
regeneración de multidifusión están configurados correctamente para garantizar que las claves válidas
estén disponibles para el cifrado de tráfico entre los miembros del grupo.
Intervención
SEE ALSO
in this section
Aplicables | 749
Automática | 750
Comproba | 759
En este ejemplo se muestra cómo configurar un dispositivo para el modo de coubicación, que permite
que las funciones de servidor y miembro coexistan en el mismo dispositivo físico. El grupo VPNv1 se
admite en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
749
Aplicables
Antes de empezar:
• Configure las interfaces de red en los dispositivos miembro y servidor. Consulte la Guía del usuario
de interfaces para los dispositivos de seguridad.
Descripción general
Cuando se configura el modo de coubicación, las funciones agrupadas de servidor y miembro de grupo
pueden coexistir en el mismo dispositivo. En el modo de coubicación, el servidor y el miembro deben
tener direcciones IP diferentes para que los paquetes se entreguen correctamente.
En Figura 48 en la página 749, una VPN de grupo (identificador de grupo es 1) consta de dos miembros
(member1 y miembro2) y un servidor de grupo (la dirección IP de la interfaz de bucle invertido es
20.0.0.1). Tenga en cuenta que member1 coexiste en el mismo dispositivo que el servidor del grupo. En
este ejemplo, se asigna a la interfaz que member1 usa para conectarse a MPLS red (GE-0/1/0) la
dirección IP 10.1.0.1/32.
Las instrucciones de configuración de este tema describen cómo configurar el servidor del grupo-
dispositivo member1 para el modo coubicación. Para configurar member2, consulte ejemplo:
Configurando el servidor VPNv1y los miembros del grupo.
Para evitar problemas de fragmentación de paquetes, recomendamos que la interfaz utilizada por el
miembro del grupo para conectarse al MPLS red esté configurada para un tamaño de MTU no superior a
1400 bytes. Utilice la set interface mtu instrucción de configuración para establecer el tamaño de MTU.
750
Automática
in this section
Modalidades | 750
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
VYZUHX7UHqmF3Sre"
set security group-vpn server ike gateway gw1 ike-policy srv-pol
set security group-vpn server ike gateway gw1 address 10.1.0.1
set security group-vpn server ike gateway gw2 ike-policy srv-pol
set security group-vpn server ike gateway gw2 address 10.2.0.1
set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96
set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc
set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600
set security group-vpn server group grp1 group-id 1
set security group-vpn server group grp1 ike-gateway gw1
set security group-vpn server group grp1 ike-gateway gw2
set security group-vpn server group grp1 anti-replay-time-window 120
set security group-vpn server group grp1 server-address 20.0.0.1
set security group-vpn server group grp1 server-member-communication communication-type unicast
set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc
set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5
set security group-vpn server group grp1 server-member-communication certificate srv-cert
set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0
set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
set security group-vpn co-location
set security group-vpn member ipsec vpn v1 ike-gateway g1
set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0
set security address-book book1 address 10_subnet 10.0.0.0/8
set security address-book book1 attach zone trust
set security address-book book2 address 10_subnet 10.0.0.0/8
set security address-book book2 attach zone untrust
752
set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet
set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet
set security policies from-zone trust to-zone untrust policy scope1 match application any
set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1
set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet
set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet
set security policies from-zone untrust to-zone trust policy scope1 match application any
set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit interfaces]
user@host# set lo0 unit 0 family inet address 20.0.0.1/32
[edit interfaces]
user@host# set ge-0/1/0 unit 0 family inet address 10.1.0.1/32
4. Configure ICR SA de fase 1 para el servidor (esta configuración debe coincidir con la SA de fase 1
configurada en miembros del grupo).
9. Configure las directivas de grupo que se van a descargar en miembros del grupo.
10. Configurar SA de fase 1 para member1 (esta configuración debe coincidir con la SA de fase 1
configurada para el servidor de grupo).
14. Configure una directiva de ámbito desde la zona de confianza a la zona de no confianza que permita
el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
15. Configure una directiva de ámbito desde la zona donde no confíe a la zona de confianza que
permita el tráfico de unidifusión hacia y desde la subred 10.0.0.0/8.
Resultados
Desde el modo de configuración, escriba el show security group-vpn comando y show security policies
para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
instrucciones de configuración de este ejemplo para corregirlo.
En la lista de políticas de seguridad configuradas, asegúrese de que las políticas de ámbito se enumeran
antes de las directivas predeterminadas.
[edit]
user@host# show security group-vpn
member {
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-
DATA
756
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
}
server {
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ##
SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
757
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
server-member-communication {
communication-type unicast;
encryption-algorithm aes-128-cbc;
sig-hash-algorithm md5;
certificate srv-cert;
}
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
758
}
co-location;
[edit]
user@host# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
759
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
}
Comproba
in this section
Comprobando las asociaciones de seguridad del servidor VPN del grupo para ICR | 760
Comprobando las asociaciones de seguridad de miembro de VPN de grupo para ICR | 760
Comprobando las asociaciones de seguridad de miembro de VPN de grupo para IPsec | 761
760
Purpose
Compruebe que los miembros de la VPN del grupo se han registrado correctamente.
Intervención
Comprobando las asociaciones de seguridad del servidor VPN del grupo para ICR
Purpose
Intervención
En modo operativo, escriba el show security group-vpn server ike security-associations comando.
Purpose
Intervención
En modo operativo, escriba el show security group-vpn server ipsec security-associations comando.
Purpose
Intervención
En modo operativo, escriba el show security group-vpn member ike security-associations comando.
761
Purpose
Intervención
En modo operativo, escriba el show security group-vpn member ipsec security-associations comando.
release-history
12.3X48-D30 A partir de Junos OS versión 12.3 X48-D30, Group VPNv1 Members puede interoperar
con servidores VPNv2 Group.
12.3X48-D30 A partir de Junos OS versión 12.3 X48-D30, los miembros del grupo VPNv1 en SRX100,
SRX110, SRX210, SRX220, SRX240, SRX550 y los dispositivos SRX650 pueden
interoperar con servidores VPNv2 de grupo.
VÍNCULOS RELACIONADOS
Agrupar VPNv2
in this section
Descripción del proceso del VPNv2 de la prueba de recuperación del grupo | 773
Ejemplo Configurar VPNv2 de grupo \ comunicación de miembro del servidor para mensajes de regeneración
de claves de unidifusión | 822
Group VPNv2 introduce el concepto de grupo de confianza para eliminar los túneles punto a punto y sus
enrutamientos superpuestos asociados. Todos los miembros del grupo comparten una asociación de
seguridad común (SA), también conocida como SA de grupo.
in this section
Una asociación de seguridad IPsec (SA) es un acuerdo unidireccional entre los participantes de la red
privada virtual (VPN) que define las reglas que se utilizarán para los algoritmos de autenticación y
cifrado, los mecanismos de intercambio de claves y las comunicaciones seguras. Con muchas
763
implementaciones de VPN, la SA es un túnel punto a punto entre dos dispositivos de seguridad (consulte
Figura 49 en la página 763).
Grupo VPNv2 extiende la arquitectura IPsec para admitir las asociaciones de seguridad que comparten
un grupo de dispositivos, Figura 50 en la página 763(consulte). Con VPNv2 de grupo, la conectividad
de cualquier medio a cualquier se consigue conservando las direcciones IP originales de origen y destino
en el encabezado exterior. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Group VPNv2 es una versión mejorada de la característica VPN de grupo introducida en una versión
anterior Junos OS para dispositivos serie SRX. El grupo VPNv2 en dispositivos de Juniper admite RFC
6407, El dominio de interpretación de grupo (GDOI)e interopera con otros dispositivos que cumplen con
la RFC 6407.
764
El grupo VPNv2 se basa en RFC 6407, El dominio de interpretación de grupo (GDOI). Esta RFC describe
el protocolo entre los miembros de grupo y los servidores de grupo para establecer SA entre los
miembros del grupo. GDOI los mensajes crean, mantienen o eliminan las SA para un grupo de
dispositivos. El grupo VPNv2 se admite en vSRX instancias y en todos los dispositivos serie SRX, salvo
SRX5400, SRX5600 y SRX5800.
Con el grupo VPNv2, la negociación DE SA ISAKMP de fase 1 se lleva a cabo entre un servidor de grupo
y un miembro del grupo. El servidor y el miembro deben utilizar la misma directiva ISAKMP. GDOI
intercambios entre el servidor y el miembro establece las SA que se comparten con otros miembros del
grupo. Un miembro del grupo no necesita negociar el IPsec con otros miembros del grupo. Los
intercambios GDOI deben estar protegidos por AS ISAKMP de fase 1.
• El groupkey-pull intercambio permite que un miembro solicite SAS y claves compartidas por el grupo
desde el servidor. Los miembros del grupo deben registrarse en un servidor de groupkey-pull grupo a
través de un intercambio.
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. El centro del grupo VPNv2 es el controlador de
grupo/servidor de claves (GCKS). Un clúster de servidores se puede utilizar para proporcionar
redundancia GCKS.
• Envía las nuevas SA y claves del grupo a los miembros. Los miembros del grupo cifran el tráfico en
función de las SA y las claves del grupo que proporciona el servidor del grupo.
765
Un servidor de grupo puede atender A varios grupos. Un único dispositivo de seguridad puede ser
miembro de varios grupos.
Cada grupo se representa mediante un identificador de grupo, que es un número comprendido entre 1 y
4.294.967.295. El servidor del grupo y los miembros del grupo se vinculan conjuntamente por el
identificador de grupo. Solo puede haber un identificador de grupo por grupo, y varios grupos no
pueden usar el mismo identificador de grupo.
A continuación se muestra una vista de alto nivel del servidor VPNv2 las acciones de los miembros y los
servidores:
1. El servidor del grupo escucha en el puerto UDP 848 a fin de que los miembros se registren.
2. Para registrarse con el servidor del grupo, el miembro establece primero una asociación de ICR con el
servidor. Un dispositivo miembro debe proporcionar una autenticación ICR fase 1 correcta para
unirse al grupo. Se admite la autenticación de clave previamente compartida para una base por
miembro.
3. Tras una autenticación y registro exitosos, el dispositivo miembro recupera asociaciones y claves de
grupo para el identificador de grupo especificado del servidor con un groupkey-pull intercambio
GDOI.
El servidor envía SA y actualizaciones de clave a los miembros del grupo con mensajes de groupkey-
pushregeneración de claves (GDOI). El servidor envía mensajes de regeneración de claves antes de que
el SAs expire para garantizar que las claves válidas estén disponibles para el cifrado de tráfico entre los
miembros del grupo.
El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los
miembros cuando el grupo de SA ha cambiado.
Los servidores VPNv2 del grupo solo funcionan con miembros del grupo VPNv2 compatibles con RFC
6407, El dominio de interpretación de grupo (GDOI).
766
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Los siguientes elementos no se admiten en esta
versión del grupo VPNv2:
• SNMP.
• Coubicación del servidor y del miembro del grupo, donde las funciones servidor y miembro coexisten
en el mismo dispositivo físico.
El grupo VPNv2 no se admite en implementaciones en las que no se pueden conservar las direcciones
IP; por ejemplo, en Internet, donde TDR se usa.
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. La comunicación entre los miembros del
servidor permite al servidor groupkey-push enviar mensajes GDOI (regenerar claves) a los miembros. Si
la comunicación del servidor o miembro no está configurada para el grupo, groupkey-pull los miembros
pueden enviar mensajes de GDOI para registrarse y registrarse en el servidor, pero el servidor groupkey-
push no podrá enviar mensajes a los miembros.
• Algoritmo de cifrado utilizado para las comunicaciones entre el servidor y el miembro. Puede
especificar AES-128-CBC, AES-192-CBC o AES-256-CBC. No hay ningún algoritmo predeterminado.
Claves de grupo
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. El servidor de grupo mantiene una base de
datos para hacer un seguimiento de la relación entre grupos VPN, miembros de grupo y claves de grupo.
Existen dos tipos de claves de grupo que el servidor descarga a los miembros:
• Clave de cifrado de clave (KEK): se usa para cifrar los intercambios de reclame sa (GDOI). groupkey-
push Se admite un KEK por grupo.
• Clave de cifrado de tráfico (TEK): se usa para cifrar y descifrar el tráfico de datos IPsec entre
miembros del grupo.
La clave asociada con una SA solo la acepta un miembro del grupo si hay una directiva coincidente
configurada en el miembro. Se ha instalado una clave aceptada para el grupo, mientras que una clave
rechazada se descarta.
Si el grupo está configurado para comunicaciones de miembro de servidor, el servidor envía la SA y las
actualizaciones de clave a los miembros del grupo groupkey-pushcon mensajes de regeneración de
claves (GDOI). Los mensajes de regeneración de claves se envían antes de que las SA expiren; Esto
garantiza que las claves válidas estén disponibles para el cifrado de tráfico entre los miembros del grupo.
El servidor también envía mensajes de regeneración de clave para proporcionar nuevas claves a los
miembros cuando se produce un cambio en la pertenencia a un grupo o cuando la SA del grupo ha
cambiado (por ejemplo, cuando se agrega o se elimina una directiva de grupo).
768
Las opciones de comunicación del miembro del servidor deben estar configuradas en el servidor para
permitir que el servidor envíe mensajes de regeneración de claves a los miembros del grupo.
El servidor del grupo envía una copia del mensaje de regeneración de claves de unidifusión a cada
miembro del grupo. Una vez recibido el mensaje de regeneración de claves, los miembros deben enviar
una confirmación (ACK) al servidor. Si el servidor no recibe una confirmación de un miembro (incluida la
retransmisión de mensajes de regeneración de claves), el servidor considera que el miembro está
inactivo y lo quita de la lista de integrantes. El servidor deja de enviar mensajes de regeneración de
claves al miembro.
El lifetime-seconds para el KEK se configura como parte de las comunicaciones entre miembros del
servidor; el valor predeterminado es 3600 segundos. El lifetime-seconds de Tek está configurado para la
propuesta de IPSec; el valor predeterminado es 3600 segundos.
Registro de miembro
Si un miembro del grupo no recibe una nueva clave de SA del servidor antes de que caduque la clave
actual, el miembro debe volver a registrarse con el servidor y obtener claves actualizadas groupkey-pull
con un intercambio GDOI.
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Este tema describe las tareas principales para
configurar VPNv2 de grupo.
El controlador de grupo/servidor de claves (GCKS) administra las asociaciones de seguridad (SA) del
grupo VPNv2, y genera claves de cifrado y las distribuye a los miembros del grupo. Puede usar un
clúster del servidor VPNv2 de grupo para proporcionar redundancia de GCKS. Consulte Understanding
Group VPNv2 Server clusters.
1. ICR sa de fase 1. Consulte Descripción de ICR configuración de la fase 1 para VPNv2 de grupo .
2. SA de IPsec. Consulte Descripción de la configuración de Asociación de IPSec para el grupo VPNv2.
769
3. Información del grupo VPN, incluido el identificador de grupo, ICR puertas de enlace para miembros
del grupo, el número máximo de miembros del grupo y las comunicaciones entre miembros del
servidor. La configuración del grupo incluye una directiva de grupo que define el tráfico al que se
aplican la SA y las claves. Puede configurar opcionalmente el clúster de servidor y antireplay ventana
de tiempo. Consulte Descripción general de la configuración del grupo VPNv2 y comprensión del
control de tráfico del VPNv2 del grupo.
1. ICR sa de fase 1. Consulte Descripción de ICR configuración de la fase 1 para VPNv2 de grupo .
3. Directiva IPsec que define la zona entrante (normalmente una LAN protegida), la zona saliente
(normalmente una WAN) y el grupo VPN al que se aplica la Directiva. También se pueden especificar
las reglas Exclude o Fail-Open. Consulte Descripción del control del tráfico del grupo VPNv2.
4. Directiva de seguridad para permitir el tráfico VPN de grupo entre las zonas especificadas en la
directiva IPsec.
Agrupar VPNv2 operación requiere una topología de enrutamiento de funcionamiento que permita a los
dispositivos cliente llegar a sus sitios previstos por toda la red.
El grupo se configura en el servidor con la group instrucción de configuración en laedit security group-
vpn serverjerarquía [].
• Identificador de grupo: un valor que identifica al grupo VPN. Debe configurarse el mismo
identificador de grupo en el miembro del grupo.
• Cada miembro del grupo se configura con ike-gateway la instrucción de configuración. Puede haber
varias instancias de esta instrucción de configuración, una por cada miembro del grupo.
• Políticas de grupo: políticas que se deben descargar a los miembros. Las directivas de grupo
describen el tráfico al que se aplican la SA y las claves. Consulte Descripción del control del tráfico
del grupo VPNv2.
• Umbral de miembro: la cantidad máxima de miembros del grupo. Una vez que se alcanza el umbral de
miembros de un grupo, un servidor groupkey-pull deja de responder a las iniciaciones procedentes
de nuevos miembros. Consulte Understanding Group VPNv2 Server clusters.
• Comunicación entre miembros del servidor: configuración opcional que permite al servidor enviar
groupkey-push mensajes de reclave a los miembros.
Una SA ICR fase 1 entre un servidor de grupo y un miembro del grupo establece un canal seguro en el
que negociar SA de IPSec que son compartidas por un grupo. Para VPN IPsec estándar en Juniper
Networks dispositivos de seguridad, la configuración de SA de fase 1 consiste en especificar ICR
propuesta, política y puerta de enlace.
Para el grupo VPNv2, la configuración de SA de fase 1 de ICR es similar a la configuración para VPN
IPsec estándar, pero se realiza en las jerarquías [ ] y edit security group-vpn server ike [ edit security
group-vpn member ike ]. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
La propuesta de ICR y la configuración de políticas del servidor de grupo deben coincidir con la
propuesta de ICR y la configuración de políticas en los miembros del grupo. En un servidor de grupo, se
configura una puerta de enlace de ICR para cada miembro del grupo. En un miembro del grupo, se
pueden especificar hasta cuatro direcciones de servidor en la configuración de puerta de enlace de ICR.
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Después de que el servidor y el miembro
establecen un canal seguro y autenticado en la negociación de fase 1, proceden a establecer las SA de
IPSec que comparten los miembros del grupo para proteger los datos que se transmiten entre los
miembros. Mientras que la configuración de SA de IPsec para el grupo VPNv2 es similar a la
configuración de las VPN estándar, un miembro del grupo no necesita negociar la SA con otros
miembros del grupo.
se configura en el servidor de proposal grupo con la instrucción deedit security group-vpn server
ipsecconfiguración en la jerarquía [].
• En el miembro del grupo, se configura una ICR Autokey que hace referencia al identificador del
grupo, el servidor del grupo ( ike-gateway configurado con la instrucción de configuración) y la
interfaz utilizada por el usuario para conectar con el grupo de pares. La ICR Autokey se configura en
el miembro con la vpn instrucción de configuración en laedit security group-vpn member
ipsecjerarquía [].
SEE ALSO
in this section
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. El servidor de grupo distribuye asociaciones de
seguridad IPsec (SA) y claves a los miembros de un grupo especificado. Todos los miembros que
pertenecen al mismo grupo comparten el mismo conjunto de SA de IPsec. La SA instalada en un
miembro de un grupo específico lo determina la directiva asociada con el grupo SA y la directiva IPsec
configurada en el miembro del grupo.
En un grupo de VPN, cada SA de grupo y la clave que el servidor inserta en un miembro se asocia con
una directiva de grupo. La Directiva de grupo describe el tráfico del que debe utilizarse la clave, incluidos
el protocolo, la dirección de origen, el puerto de origen, la dirección de destino y el puerto de destino. En
772
el servidor, la Directiva de grupo se configura con match-policy policy-name las opciones del niveledit
security group-vpn server group name ipsec-sa namede jerarquía [].
Las directivas de grupo idénticas (configuradas con la misma dirección de origen, dirección de destino,
Puerto de origen, Puerto de destino y valores de protocolo) no pueden existir para un único grupo. Si
intenta confirmar una configuración que contiene políticas de grupo idénticas para un grupo, se
devuelve un error. Si esto ocurre, debe eliminar una de las políticas de grupo idénticas antes de poder
confirmar la configuración.
• Nombre del grupo al que se aplica la directiva IPsec. Solo se puede hacer referencia a un nombre de
VPNv2 de grupo mediante un par de zona/zona específica.
La interfaz que utiliza el miembro del grupo para conectarse al grupo VPNv2 debe pertenecer a la zona
de salida. Esta interfaz se especifica con la group-vpn-external-interface instrucción en el niveledit
security group-vpn member ipsec vpn vpn-namede jerarquía [].
En el miembro del grupo, la directiva IPsec se configura en eledit security ipsec-policynivel de jerarquía
[]. El tráfico que coincide con la directiva IPsec se comprueba en las reglas de exclusión y apertura con
errores configuradas para el grupo.
Error de cierre
De forma predeterminada, el tráfico que no coincide con las reglas de exclusión o de apertura o error, o
las directivas de grupo recibidas del servidor de grupo, está bloqueada; Esto se conoce como error de
cierre.
En los miembros del grupo, se pueden configurar los siguientes tipos de reglas para cada grupo:
• Tráfico que se excluye del cifrado de VPN. Los ejemplos de este tipo de tráfico pueden incluir
protocolos de enrutamiento de BGP o OSPF. Para excluir el tráfico de un grupo, set security group-
vpn member ipsec vpn vpn-name exclude rule utilice la configuración. Se puede configurar un
máximo de 10 reglas de exclusión.
• Tráfico que es crítico para el funcionamiento del cliente y debe enviarse con texto sin cifrar si el
miembro del grupo no ha recibido una clave de cifrado de tráfico (TEK) válida para la SA IPSec. Las
773
reglas de error de apertura permiten este flujo de tráfico mientras se bloquea el resto del tráfico.
Activar error de apertura con la set security group-vpn member ipsec vpn vpn-name fail-open rule
configuración. Puede configurarse un máximo de 10 reglas de error de apertura.
Las reglas y políticas IPsec tienen las siguientes prioridades en el miembro del Grupo:
1. Excluya las reglas que definen el tráfico que se va a excluir del cifrado de VPN.
3. Reglas de error de apertura que definen el tráfico que se envía en texto no cifrado si no hay ningún
TEK válido para la SA.
4. Directiva de cierre de bloqueo que bloquea el tráfico. Este es el valor predeterminado si el tráfico no
coincide con reglas de exclusión o apertura o directivas de grupo.
SEE ALSO
Descripción de los cambios de configuración con clústeres de servidores de VPNv2 de grupo | 833
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Dos situaciones podrían indicar que un miembro
del grupo no está sincronizado con el servidor del grupo y con otros miembros del Grupo:
• El miembro del grupo recibe un paquete ESP (Encapsulating Security Payload) con un índice de
parámetros de seguridad (SPI) no reconocido.
• Hay tráfico IPsec saliente, pero no hay tráfico entrante de IPsec en el miembro del grupo.
Grupo VPNv2 antireplay es compatible con vSRX instancias y con todos los dispositivos serie SRX, salvo
SRX5400, SRX5600 y SRX5800. Antireplay es una característica de IPsec que puede detectar cuándo un
paquete es interceptado y lo reproducen los intrusos. Antireplay está deshabilitado de forma
predeterminadapara un grupo.
Cada paquete IPsec contiene una marca de hora. El miembro del grupo comprueba si la marca de hora
del paquete está dentro del valor anti-replay-time-window configurado. Un paquete se descarta si la
marca de hora supera el valor.
Recomendamos que NTP esté configurado en todos los dispositivos que admiten VPNv2 de grupo
antireplay.
Los miembros del grupo que se ejecutan en vSRX instancias de una máquina host en la que el hipervisor
se está ejecutando bajo una carga pesada pueden experimentar problemas que pueden anti-replay-
time-window corregirse volviendo a configurar el valor. Si no se van a transferir los datos que coinciden
con la directiva IPsec en el miembro show security group-vpn member ipsec statistics del grupo,
compruebe el resultado en busca de errores D3P. Asegúrese de que el NTP funciona correctamente. Si
hay errores, ajuste el anti-replay-time-window valor.
SEE ALSO
in this section
Aplicables | 775
Automática | 777
775
Comproba | 813
En este ejemplo se muestra cómo configurar un servidor VPNv2 para que proporcione compatibilidad
con el controlador/servidor de claves (GCKS) para agrupar VPNv2 miembros del grupo. Group VPNv2 es
compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y
dispositivos SRX4600 e instancias de vSRX.
Aplicables
El ejemplo utiliza los siguientes componentes de hardware y software:
• Un dispositivo serie SRX compatible o una instancia vSRX que ejecute Junos OS Release 15.1-D30 o
posterior que admita el grupo VPNv2. Esta serie SRX dispositivo o instancia de vSRX funciona como
un servidor VPNv2 de grupo.
• Dos dispositivos serie SRX compatibles o instancias vSRX que se ejecuta Junos OS Release 15.1-D30
o posterior que admite el grupo VPNv2. Estos dispositivos o instancias funcionan como miembros del
grupo VPNv2 Group.
• Dos dispositivos compatibles con la serie MX que se ejecutan Junos OS versión 15.1 R2 o posterior
que admiten el grupo VPNv2. Estos dispositivos funcionan como miembros del grupo VPNv2.
En cada dispositivo debe configurarse un nombre de host, una contraseña de administrador raíz y un
acceso de administración. Recomendamos que NTP también esté configurado en cada dispositivo.
Agrupar VPNv2 operación requiere una topología de enrutamiento de funcionamiento que permita a los
dispositivos cliente llegar a sus sitios previstos por toda la red. Este ejemplo se centra en la configuración
del VPNv2 de grupo; no se describe la configuración de enrutamiento.
Descripción general
in this section
Topología | 776
En este ejemplo, la red del grupo VPNv2 está formada por un servidor y cuatro miembros. Dos de los
miembros se serie SRX dispositivos o instancias de vSRX mientras que los otros dos miembros son
dispositivos de la serie MX. El grupo compartido VPN SAs protege el tráfico entre miembros del grupo.
776
Las SA de grupo de VPN deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración VPN
de grupo debe incluir la configuración ICR negociaciones de la fase 1 tanto en el servidor de grupo como
en los miembros del grupo.
El mismo identificador de grupo debe configurarse tanto en el servidor del grupo como en los miembros
del grupo. En este ejemplo, el nombre de grupo es GROUP_ID-0001 y el identificador de grupo es 1. La
Directiva de grupo configurada en el servidor especifica que la SA y la clave se aplican al tráfico entre las
subredes del intervalo 172.16.0.0/12.
En los miembros de la agrupación SRX o vSRX, se configura una directiva IPsec para el grupo con la zona
LAN como la zona de entrada (tráfico entrante) y la zona WAN como la zona a (tráfico saliente). También
se necesita una directiva de seguridad para permitir el tráfico entre las zonas LAN y WAN.
Topología
Figura 51 en la página 776muestra los dispositivos Juniper Networks que se configurarán para este
ejemplo.
Figura 51: Agrupar VPNv2 servidor con miembros de la serie SRX o vSRX y MX
777
Automática
in this section
Configurar el miembro del grupo GM-0001 (serie SRX dispositivo o instancia de vSRX) | 784
Configuración del miembro del grupo GM-0002 (serie SRX dispositivo o instancia de vSRX) | 792
Configuración del miembro del grupo GM-0004 (dispositivo serie MX) | 807
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 source
172.16.0.0/12
set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 destination
172.16.0.0/12
set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 protocol 0
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 10.10.100.1/24
[edit security zones security-zone GROUPVPN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/1.0
[edit security policies]
user@host# set global policy 1000 match source-address any
user@host# set global policy 1000 match destination-address any
user@host# set global policy 1000 match application any
user@host# set global policy 1000 match from-zone any
user@host# set global policy 1000 match to-zone any
user@host# set global policy 1000 then reject
user@host# set global policy 1000 then log session-init
user@host# set global policy 1000 then count
user@host# set default-policy deny-all
[edit routing-options]
user@host# set static route 10.18.101.0/24 next-hop 10.10.100.254
user@host# set static route 10.18.102.0/24 next-hop 10.10.100.254
780
5. Configure el grupo.
7. Configure la Directiva de grupo para que sea descargada a los miembros del grupo.
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show
security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
782
family inet {
address 10.10.100.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.10.100.254;
route 10.18.102.0/24 next-hop 10.10.100.254;
route 10.18.103.0/24 next-hop 10.10.100.254;
route 10.18.104.0/24 next-hop 10.10.100.254;
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy GMs {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.10.100.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.10.100.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.10.100.1;
783
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.10.100.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
784
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Configurar el miembro del grupo GM-0001 (serie SRX dispositivo o instancia de vSRX)
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
785
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_LAN
user@host# set ge-0/0/0 unit 0 family inet address 172.16.101.1/24
user@host# set ge-0/0/1 unit 0 description To_KeySrv
user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24
[edit security zones security-zone LAN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/0.0
[edit security]
787
[edit routing-options]
user@host# set static route 10.18.102.0/24 next-hop 10.18.101.254
user@host# set static route 10.18.103.0/24 next-hop 10.18.101.254
user@host# set static route 10.18.104.0/24 next-hop 10.18.101.254
user@host# set static route 172.16.101.0/24 next-hop 10.18.101.254
user@host# set static route 172.16.102.0/24 next-hop 10.18.101.254
user@host# set static route 172.16.103.0/24 next-hop 10.18.101.254
788
4. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show
security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.101.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.102.0/24 next-hop 10.18.101.254;
route 10.18.103.0/24 next-hop 10.18.101.254;
route 10.18.104.0/24 next-hop 10.18.101.254;
route 172.16.101.0/24 next-hop 10.18.101.254;
route 172.16.102.0/24 next-hop 10.18.101.254;
route 172.16.103.0/24 next-hop 10.18.101.254;
route 172.16.104.0/24 next-hop 10.18.101.254;
route 10.10.100.0/24 next-hop 10.18.101.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
790
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
from-zone LAN to-zone WAN {
ipsec-group-vpn GROUP_ID-0001;
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
791
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
792
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Configuración del miembro del grupo GM-0002 (serie SRX dispositivo o instancia de vSRX)
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
793
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_LAN
user@host# set ge-0/0/0 unit 0 family inet address 172.16.102.1/24
user@host# set ge-0/0/1 unit 0 description To_KeySrv
user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24
[edit security zones security-zone LAN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone WAN]
795
[edit routing-options]
user@host# set static route 10.18.101.0/24 next-hop 10.18.102.254
user@host# set static route 10.18.103.0/24 next-hop 10.18.102.254
user@host# set static route 10.18.104.0/24 next-hop 10.18.102.254
user@host# set static route 172.16.101.0/24 next-hop 10.18.102.254
user@host# set static route 172.16.102.0/24 next-hop 10.18.102.254
user@host# set static route 172.16.103.0/24 next-hop 10.18.102.254
796
4. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show routing-optionsy y show
security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.102.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.102.254;
route 10.18.103.0/24 next-hop 10.18.102.254;
route 10.18.104.0/24 next-hop 10.18.102.254;
route 172.16.101.0/24 next-hop 10.18.102.254;
route 172.16.102.0/24 next-hop 10.18.102.254;
route 172.16.103.0/24 next-hop 10.18.102.254;
route 172.16.104.0/24 next-hop 10.18.102.254;
route 10.10.100.0/24 next-hop 10.18.102.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
798
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.102.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
799
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
800
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-
KS
set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
set interfaces xe-0/0/1 unit 0 family inet address 10.18.103.1/24
801
[edit interfaces]
user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet address 10.18.103.1/24
user@host# set xe-0/0/2 unit 0 family inet address 172.16.103.1/24
user@host# set ms-0/2/0 unit 0 family inet
2. Configurar el enrutamiento.
[edit routing-options]
user@host# set static route 10.18.101.0/24 next-hop 10.18.103.254
user@host# set static route 10.18.102.0/24 next-hop 10.18.103.254
user@host# set static route 10.18.104.0/24 next-hop 10.18.103.254
user@host# set static route 172.16.101.0/24 next-hop 10.18.103.254
user@host# set static route 172.16.102.0/24 next-hop 10.18.103.254
user@host# set static route 172.16.103.0/24 next-hop 10.18.103.254
user@host# set static route 172.16.104.0/24 next-hop 10.18.103.254
user@host# set static route 10.10.100.0/24 next-hop 10.18.103.254
4. Configure la SA de IPsec.
Resultados
Desde el modo de configuración show interfaces, especifique los comandos, show routing-options,
show securityshow services, y show firewall para confirmar la configuración. Si el resultado no muestra
la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.103.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.103.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.103.254;
route 10.18.102.0/24 next-hop 10.18.103.254;
route 10.18.104.0/24 next-hop 10.18.103.254;
route 172.16.101.0/24 next-hop 10.18.103.254;
805
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.10.100.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
807
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-
KS
set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
set interfaces xe-0/0/1 unit 0 family inet address 10.18.104.1/24
set interfaces xe-0/0/2 unit 0 family inet address 172.16.104.1/24
set interfaces ms-0/2/0 unit 0 family inet
set routing-options static route 10.18.101.0/24 next-hop 10.18.104.254
set routing-options static route 10.18.102.0/24 next-hop 10.18.104.254
set routing-options static route 10.18.103.0/24 next-hop 10.18.104.254
set routing-options static route 172.16.101.0/24 next-hop 10.18.104.254
set routing-options static route 172.16.102.0/24 next-hop 10.18.104.254
set routing-options static route 172.16.103.0/24 next-hop 10.18.104.254
set routing-options static route 172.16.104.0/24 next-hop 10.18.104.254
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-
shared-keys
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc
set security group-vpn member ike policy SubSrv mode main
set security group-vpn member ike policy SubSrv proposals PSK-SHA256-DH14-AES256
set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123"
set security group-vpn member ike gateway SubSrv ike-policy SubSrv
set security group-vpn member ike gateway SubSrv server-address 10.17.101.1
set security group-vpn member ike gateway SubSrv server-address 10.17.102.1
set security group-vpn member ike gateway SubSrv server-address 10.17.103.1
set security group-vpn member ike gateway SubSrv server-address 10.17.104.1
set security group-vpn member ike gateway SubSrv local-address 10.18.104.1
set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway SubSrv
set security group-vpn member ipsec vpn GROUP_ID-0001 group 1
set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output
808
[edit interfaces]
user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet address 10.18.104.1/24
user@host# set xe-0/0/2 unit 0 family inet address 172.16.104.1/24
user@host# set ms-0/2/0 unit 0 family inet
2. Configurar el enrutamiento.
[edit routing-options]
user@host# set static route 10.18.101.0/24 next-hop 10.18.104.254
809
4. Configure la SA de IPsec.
Resultados
Desde el modo de configuración show interfaces, especifique los comandos, show routing-options,
show securityshow services, y show firewall para confirmar la configuración. Si el resultado no muestra
la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.104.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
811
family inet {
address 172.16.104.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.104.254;
route 10.18.102.0/24 next-hop 10.18.104.254;
route 10.18.103.0/24 next-hop 10.18.104.254;
route 172.16.101.0/24 next-hop 10.18.104.254;
route 172.16.102.0/24 next-hop 10.18.104.254;
route 172.16.103.0/24 next-hop 10.18.104.254;
route 172.16.104.0/24 next-hop 10.18.104.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.104.1;
server-address 10.17.101.1;
}
}
812
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
813
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Comproba
in this section
Verificación de las políticas de grupo (solo miembros de grupos SRX o vSRX) | 821
Purpose
Intervención
Desde el modo operativo, escriba show security group-vpn server registered-members los show
security group-vpn server registered-members detail comandos y en el servidor.
Purpose
Intervención
Desde el modo operativo, escriba show security group-vpn server statistics el comando en el servidor
de grupo.
Purpose
Intervención
Desde el modo operativo, escriba show security group-vpn server kek security-associations los show
security group-vpn server kek security-associations detail comandos y en el servidor de grupo.
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Server Member Communication: Unicast
Retransmission Period: 10, Number of Retransmissions: 2
Group Key Push sequence number: 0
Purpose
Intervención
Desde el modo operativo, introduzca show security group-vpn member kek security-associations los
show security group-vpn member kek security-associations detail comandos y en los miembros SRX o
vSRX del grupo.
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
817
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
En modo operativo, escriba los show security group-vpn member kek security-associations comandos
show security group-vpn member kek security-associations detail y en el miembro del grupo de la serie
mx.
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
818
Purpose
Intervención
Desde el modo operativo, escriba show security group-vpn server ipsec security-associations los show
security group-vpn server ipsec security-associations detail comandos y en el servidor de grupo.
Purpose
Intervención
Desde el modo operativo, introduzca show security group-vpn member ipsec security-associations los
show security group-vpn member ipsec security-associations detail comandos y en los miembros SRX o
vSRX del grupo.
En modo operativo, escriba los show security group-vpn member ipsec security-associations comandos
show security group-vpn member ipsec security-associations detail y en el miembro del grupo de la
serie mx.
Purpose
Intervención
Desde el modo operativo, escriba show security group-vpn member policy el comando en el miembro
del grupo.
SEE ALSO
in this section
Aplicables | 822
Automática | 823
Comproba | 823
En este ejemplo se muestra cómo habilitar el servidor para enviar mensajes de regeneración de claves de
unidifusión a los miembros del grupo para garantizar que hay claves válidas disponibles para cifrar el
tráfico entre los miembros del grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Aplicables
Antes de empezar:
• Configure el servidor del grupo y los miembros para ICR negociación de la fase 1.
Descripción general
En este ejemplo, se especifican los siguientes parámetros de comunicación del miembro de g1servidor
para el Grupo:
• El servidor envía mensajes de regeneración de claves de unidifusión a los miembros del grupo.
Automática
in this section
Modalidades | 823
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security group-vpn server
group g1 server-member-communication comando.
824
SEE ALSO
VÍNCULOS RELACIONADOS
in this section
Descripción de los mensajes del clúster del servidor VPNv2 de grupo | 831
Descripción de los cambios de configuración con clústeres de servidores de VPNv2 de grupo | 833
Migrar un grupo independiente VPNv2 servidor a un grupo VPNv2 clúster de servidores | 839
Agrupar VPNv2 Server Cluster proporciona redundancia de controladores de grupo y servidor de claves
(GCKS), por lo que no existe un único punto de error para toda la red VPN de grupo.
in this section
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Todos los servidores en un grupo VPNv2 clúster
de servidores deben ser compatibles en dispositivos serie SRX o instancias de vSRX. Los clústeres de
servidores VPNv2 del grupo son Juniper Networks solución exclusiva y no tienen interoperabilidad con
GCKS de otro proveedor.
Un clúster de VPNv2 de servidores se compone de un servidor raíz con un máximo de cuatro sub-
servidores conectados. Todos los servidores del clúster comparten las mismas claves SA y de cifrado que
826
se distribuyen a los miembros VPNv2 del grupo. Los servidores del clúster pueden estar ubicados en
sitios diferentes, tal y como Figura 52 en la página 826se muestra en la.
Los mensajes entre los servidores del clúster se cifran y autentican mediante ICR SA. El servidor raíz es
responsable de la generación y distribución de claves de cifrado a los subservidors; debido a esta
responsabilidad, recomendamos que el servidor raíz se configure como un clúster de chasis. Los
subservidors son dispositivos únicos y no pueden ser clústeres de chasis. Los sub-servidores deben
poder conectarse al servidor raíz, aunque los vínculos directos entre subservidors no son necesarios.
Si un subservidor pierde su conexión con el servidor raíz, no se permitirá ninguna conexión posterior al
subservidor desde miembros del grupo ni se eliminarán las SA. Por lo tanto, recomendamos que utilice
un vínculo diferente para conectar cada sub-servidor con el servidor raíz.
Grupos VPNv2 los clústeres de servidores se configuran con server-cluster lasedit security group-vpn
server group-nameinstrucciones en el nivel de jerarquía []. Deben configurarse los siguientes valores
para cada servidor de un clúster:
827
• El rol de servidor: especifique cualquiera root-server o sub-server . Un servidor dado puede ser parte
de varios grupos VPNv2 clústeres de servidores, pero debe tener la misma función de servidor en
todos los clústeres. No se puede configurar un servidor con la función de servidor raíz en un grupo y
la función del subservidor en otro grupo.
Debe asegurarse de que sólo hay un servidor raíz en cualquier momento para un grupo VPNv2
clúster de servidores.
• ICR puerta de enlace: especifique el nombre de una puerta ICR de enlace configurada en el nivel de
jerarquía [ edit security group-vpn server ike ]. En el caso de un servidor raíz, el ICR puerta de enlace
debe ser un subservidor del clúster; se pueden especificar hasta cuatro subservidors. En el caso de
los subservidors, el ICR puerta de enlace debe ser el servidor raíz.
La configuración del VPNv2 de grupo debe ser la misma en todos los subservidors de un grupo
determinado.
Cada subservidor del clúster de servidores VPNv2 funciona como GCKS normal para registrar y eliminar
miembros. Tras el registro correcto del miembro, el servidor de registro es responsable de enviar
actualizaciones al miembro. Para un grupo determinado, puede configurar el número máximo de
miembros de VPNv2 de grupo que puede aceptar cada subservidor; Este número debe ser el mismo en
todos los subservidors del clúster. Un sub-servidor deja de responder a las solicitudes de registro de
miembros nuevos cuando alcanza el número máximo configurado de miembros de VPNv2 de grupo.
Consulte "Balanceo de carga" en la página 829la.
Los miembros del grupo se pueden registrar con cualquier servidor en el grupo VPNv2 clúster del
servidor para un determinado grupo, pero recomendamos que los miembros solo se conecten a los
subservidors y no a la raíz. En cada miembro del grupo se pueden configurar hasta cuatro direcciones del
servidor. Las direcciones de servidor configuradas en miembros del grupo pueden ser diferentes. En el
ejemplo siguiente, el miembro de grupo A está configurado para los sub-servidores 1 a 4, mientras que el
miembro B está configurado para los subservidors 4 y 3:
Sub-servidor 2 Sub-servidor 3
Sub-servidor 3
Sub-servidor 4
El orden en que se configuran las direcciones de servidor de un miembro es importante. Un miembro del
grupo intenta registrarse con el primer servidor configurado. Si el registro con un servidor configurado
no se realiza correctamente, el miembro del grupo intenta registrarse en el siguiente servidor
configurado.
Cada servidor de un clúster de servidor VPNv2 funciona como una GCKS normal para registrar y
eliminar miembros. Al registrar con éxito, el servidor de registro es responsable de enviar actualizaciones
al miembro a groupkey-push través de intercambios. Para un grupo determinado, puede configurar el
número máximo de miembros del grupo que puede aceptar cada servidor, pero este número debe ser el
mismo en todos los servidores del clúster para un grupo dado. Al alcanzar el número máximo
configurado de miembros del grupo, un servidor deja de responder a las solicitudes de registro por
miembros nuevos. Consulte "Balanceo de carga" en la página 829 para obtener más información.
Para comprobar la disponibilidad de servidores del mismo nivel en un grupo VPNv2 clúster de
servidores, cada servidor del clúster debe estar configurado para enviar solicitudes de detección de
pares inactivos (DPD) con independencia de si hay tráfico IPsec saliente hacia el mismo nivel. Se
configura con la dead-peer-detection always-send instrucción en el nivel deedit security group-vpn
server ike gateway gateway-namejerarquía [].
Un servidor activo de un grupo VPNv2 clústeres de servidores envía DPD sondeos a las puertas de
enlace ICR configuradas en el clúster de servidor. No se debe configurar DPD para un grupo porque
varios grupos pueden compartir el mismo servidor del mismo nivel ICR configuración de puerta de
enlace. Cuando DPD detecta que un servidor está inactivo, se elimina el ICR SA con ese servidor. Todos
los grupos marcan el servidor como inactivo y se detiene DPD al servidor.
DPD no debe configurarse para la puerta de enlace de ICR en miembros del grupo.
Cuando DPD marca el servidor raíz como inactivo, los subservidors dejan de responder a las nuevas
solicitudes de miembros del grupo. sin embargo, las SA existentes para los miembros actuales del grupo
permanecen activas. Un sub-servidor inactivo no envía eliminaciones a los miembros del grupo, ya que
las SA podrían seguir siendo válidas y los miembros del grupo pueden seguir usando las SA existentes.
Si una SA de ICR caduca mientras un servidor del mismo nivel sigue activo, DPD desencadena ICR
negociación de SA. Dado que los servidores raíz y los subservidors pueden activar ICR SA a través de
829
DPD, la negociación simultánea puede tener como resultado varias SA de ICR. En este caso no se espera
ningún impacto en la funcionalidad del clúster de servidores.
Balanceo de carga
El equilibrio de carga en el grupo VPNv2 clúster de servidores se puede lograr configurando el valor
adecuado member-threshold para el grupo. Cuando el número de miembros registrados en un servidor
supera el member-threshold valor, se rechaza el registro posterior del miembro en ese servidor. El
registro del miembro conmuta por error al siguiente servidor configurado en el miembro del grupo hasta
que llegue a member-threshold un servidor que aún no se haya alcanzado.
• Para un grupo determinado, debe configurarse el mismo member-threshold valor en el servidor raíz y
en todos los subservidors de un clúster de servidor de grupo. Si el número total de miembros del
grupo supera el valor configurado member-threshold , se rechaza un groupkey-pull registro Iniciado
por un nuevo miembro (el servidor no envía una respuesta).
• Un servidor puede admitir miembros en varios grupos. Cada servidor tiene un número máximo de
miembros de grupo que puede admitir. Si un servidor alcanza el número máximo de miembros que
puede admitir, entonces se groupkey-pull rechaza un registro Iniciado por un nuevo miembro incluso
si no member-threshold se ha alcanzado el valor de un grupo específico.
No hay sincronización de miembros entre los servidores del clúster. El servidor raíz no contiene
información sobre el número de miembros registrados en los subservidors. Cada sub-servidor sólo
puede mostrar sus propios miembros registrados.
SEE ALSO
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Tenga en cuenta lo siguiente cuando configure
Group VPNv2 Server clusters:
• No hay sincronización de configuración entre los servidores del clúster de servidor VPNv2 de grupo.
830
• Cuando se habilita un grupo VPNv2 clúster de servidores, la configuración debe realizarse primero en
el servidor raíz y, después, en los subservidors. Hasta que la configuración se sincronice manualmente
entre los servidores, puede esperarse la pérdida del tráfico durante el cambio en la configuración.
• En ciertos casos de esquina, las SA del grupo VPNv2 miembros no pueden estar sincronizadas. Los
miembros de la VPN de grupo pueden sincronizar las SA obteniendo groupkey-pull una nueva clave a
través de un intercambio. Puede borrar manualmente las SA de un grupo VPNv2 miembro con los
clear security group-vpn member ipsec security-associations comandos clear security group-vpn
member group o para acelerar la recuperación.
• Si el último mensaje se pierde durante el registro de un miembro del grupo VPNv2, es posible que un
servidor considere que es un miembro registrado, aun si es posible que el miembro falle al siguiente
servidor del clúster de groupkey-pull servidor. En este caso, el mismo miembro podría aparecer
registrado en varios servidores. Si el umbral total de miembro de todos los servidores es igual al
número total de miembros implementados, es posible que no se registren los miembros posteriores
del grupo.
Tenga en cuenta las siguientes advertencias para las operaciones del clúster del chasis en el servidor raíz:
• No se guardan los datos ni el estado de la negociación. Si una conmutación por error del chasis de
servidor raíz se groupkey-pull produce groupkey-push durante una negociación o, la negociación no
se reinicia después de la conmutación por error.
• Si se desactivan ambos nodos del clúster de un servidor raíz durante una regeneración de claves de
una clave de cifrado, es posible que algunos miembros del VPNv2 de grupo reciban la nueva clave
mientras que otros miembros no lo hagan. Es posible que se vea afectado el tráfico. Borrar
manualmente las asociaciones de seguridad de un grupo VPNv2 clear security group-vpn member
ipsec security-associations miembro clear security group-vpn member group con los comandos o
pueden ayudar a acelerar la recuperación cuando el servidor raíz sea alcanzable.
• En un entorno a gran escala, RG0 failover en el servidor raíz puede llevar tiempo. Si el intervalo de
DPD y el umbral de un subservidor se configuran con valores pequeños, puede hacer que el
subservidor marque al servidor raíz como inactivo durante una conmutación por error RG0. Es
posible que se vea afectado el tráfico. Recomendamos que configure la puerta ICR de enlace para el
sub servidor con un valor DPD mayor interval * threshold que 150 segundos.
831
in this section
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Todos los mensajes entre los servidores de un
grupo VPNv2 clúster de servidores se cifran y autentican mediante una asociación de seguridad ICR
(SA). Cada sub-servidor inicia una ICR SA con el servidor raíz; Esta SA de ICR debe establecerse antes de
que se puedan intercambiar mensajes entre los servidores.
En esta sección se describen los mensajes intercambiados entre el servidor raíz y los sub-servidores.
Intercambios de clúster
Figura 53 en la página 831muestra los mensajes básicos intercambiados entre el grupo VPNv2 del
clúster del servidor y los miembros del grupo VPNv2.
Un sub-servidor inicia un intercambio de inicialización de clúster (cluster-init) con el servidor raíz para
obtener información de SA y claves de cifrado. El servidor raíz responde mediante el envío de la
información actual de SA al subservidor a través cluster-init del intercambio.
A continuación, los sub-servidores pueden responder a las solicitudes de registro de groupkey-pull los
miembros VPNv2 del grupo a través de un intercambio. groupkey-pull Exchange permite a un grupo
VPNv2 miembro solicitar SAS y claves compartidas por el grupo desde un subservidor.
• El servidor raíz se considera inactivo. Este es el estado inicial asumido del servidor raíz. Si no hay
ninguna SA de ICR entre el servidor raíz y el subservidor, el subservidor inicia una asociación ICR SA
con el servidor raíz. Después de un cluster-init intercambio, el sub-servidor obtiene información
acerca de SAS y marca el servidor raíz como activo.
A partir de la generación de nuevas claves de cifrado para una SA, el servidor raíz envía actualizaciones
de SA a todos cluster-update los subservidors activos a través de un mensaje. Después de recibir
cluster-update un del servidor raíz, el subservidor instala el nuevo SA y envía la nueva información de
SA a través de groupkey-push a a sus miembros registrados del grupo.
Un cluster-update mensaje enviado desde el servidor raíz requiere una confirmación del subservidor. Si
no se recibe ninguna confirmación de un sub-servidor, el servidor raíz vuelve a transmitir el cluster-
update al período de retransmisión configurado (el valor predeterminado es 10 segundos). El servidor
raíz no se retransmite si la detección de elementos no respondes (DPD) indica que el subservidor no está
disponible. Si un subservidor no puede actualizar la información de SA después de cluster-updaterecibir
un, no envía un acuse de recibo y el servidor raíz vuelve a transmitir cluster-update el mensaje.
833
Si la duración de software de una SA caduca antes de que se reciba una nueva SA desde el servidor raíz,
el subservidor envía un cluster-init mensaje al servidor raíz para obtener todas las SA y no envía un
groupkey-push mensaje a sus miembros hasta que tenga una nueva actualización. Si la duración dura de
una SA caduca en el sub servidor antes de que reciba una nueva SA, el sub server marca el servidor raíz
inactivo, elimina todos los miembros del grupo registrado y sigue envía mensajes al servidor cluster-init
raíz.
Se cluster-update puede enviar un mensaje para eliminar una SA o un miembro de un grupo; puede ser
el resultado de un clear comando o un cambio en la configuración. Si un subservidor recibe un cluster-
update mensaje para eliminar una asociación de tiempo, envía un groupkey-push mensaje de
eliminación a los miembros del grupo y elimina la SA correspondiente. Si se eliminan todas las SA de un
grupo, el sub-servidor inicia cluster-init un intercambio con el servidor raíz. Si se eliminan todos los
miembros registrados, el sub-servidor elimina todos los miembros registrados localmente.
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. Grupos VPNv2 los clústeres de servidores se
comportan de manera diferente que los servidores de VPNv2 de grupos independientes cuando hay
cambios de configuración que producen nuevas claves de cifrado y cambios en las asociaciones de
seguridad (SA). El servidor raíz envía actualizaciones o eliminaciones de SA a los subservidors cluster-
update a través de mensajes. A continuación, los subservidors envían groupkey-push mensajes a los
miembros. Los subservidors no pueden enviar mensajes de eliminación a los miembros del grupo sin
haber primero que reciban mensajes de eliminación del servidor raíz.
Todos los cambios de configuración deben realizarse primero en el servidor raíz y, a continuación, en los
sub-servidores para garantizar que los miembros del grupo reciban las actualizaciones o eliminaciones tal
y como se espera. Hasta que no se sincronice la configuración entre los servidores del grupo VPNv2
clúster de servidores, puede esperarse la pérdida de tráfico.
Tabla 68 en la página 834describe los efectos de varios cambios de configuración en servidores VPNv2
del grupo.
834
Tabla 68: Efectos de los cambios en la configuración de los servidores VPNv2 del grupo
Cambiar ICR Elimine el ICR SA de la puerta de enlace afectada. Para ICR las eliminaciones
propuesta, política o de propuesta, Directiva o puerta de enlace, elimine los miembros
puerta de enlace registrados para la puerta de enlace afectada.
Cambiar propuesta de Los cambios surten efecto tras la regeneración de la clave de cifrado de
IPsec tráfico (TEK).
Cambios de Grupo:
Eliminar nombre del Enviar "eliminar todo" a Enviar "eliminar todo" Eliminar todas las SA de
grupo los miembros del a los sub servidores. ICR miembro. Eliminar
grupo. Elimine todas Eliminar inmediatamente todas
ICR SA del grupo. inmediatamente todas las claves del grupo.
Eliminar las claves del grupo. Elimine todos los
inmediatamente todas Marcar todos los miembros registrados
las claves del grupo. interlocutores del grupo. Marcar
Elimine todos los inactivos. Eliminar las elemento del mismo
miembros registrados SA de ICR del sub- nivel inactivo. Eliminar
del grupo. servidor. Eliminar las SA de ICR del
todas las SA de ICR servidor del mismo
miembro. nivel.
835
Tabla 68: Efectos de los cambios en la configuración de los servidores VPNv2 del grupo (Continued)
ID. de cambio Enviar "eliminar todo" a Enviar "eliminar todo" Eliminar todos los
todos los miembros. a los sub servidores. miembros ICR SA del
Elimine todas ICR SA Eliminar todos los grupo. Eliminar
del grupo. Eliminar miembros ICR SA del inmediatamente todas
inmediatamente todas grupo. Eliminar las claves del grupo.
las claves del grupo. inmediatamente todas Elimine todos los
Elimine todos los las claves del grupo. miembros registrados
miembros registrados Marcar todos los del grupo. Marcar
del grupo. Generar interlocutores elemento del mismo
nuevas claves de inactivos. Eliminar nivel inactivo. Eliminar
acuerdo con la todas las SA de ICR del las SA de ICR del
configuración. servidor del mismo servidor del mismo
nivel. Generar nuevas nivel. Inicie nuevo
claves de acuerdo con cluster-init Exchange.
la configuración.
Agregar o eliminar ICR No hay cambios para adiciones. En el caso de eliminaciones, elimine el ICR
puerta de enlace SA y los miembros registrados para la puerta de enlace afectada.
Agregar o cambiar la Nuevo valor entra en vigor después de la regeneración de claves de TEK.
ventana de tiempos de
anti-reproducción
Agregar o cambiar la Nuevo valor entra en vigor después de la regeneración de claves de TEK.
ausencia de anti-
reproducción
Tabla 68: Efectos de los cambios en la configuración de los servidores VPNv2 del grupo (Continued)
Agregar Elimine todos los Genere KEK SA. Enviar Elimine todos los
miembros registrados. nuevo KEK SA a sub- miembros registrados.
Generar clave de Server. Eliminar todas
cifrado de clave (KEK) las SA de ICR
SA. miembro.
SA de IPsec:
Tabla 68: Efectos de los cambios en la configuración de los servidores VPNv2 del grupo (Continued)
Tabla 69 en la página 838describe los efectos del cambio de la configuración del grupo VPNv2 del
servidor.
Debe asegurarse de que en cualquier momento sólo hay un servidor raíz en un clúster de servidores.
838
Tabla 69: Efectos del grupo VPNv2 cambios en la configuración del clúster de servidores
Propuesta, Directiva o Para las adiciones, no hay ningún cambio. Para los cambios o eliminaciones,
puerta de enlace de elimine el ICR SA del sistema del mismo nivel afectado.
ICR (clúster del mismo
nivel)
Clúster de servidores:
Cambiar rol Enviar "eliminar todo" a los sub Regeneración de claves TEK.
servidores. Eliminar todos los Regeneración de claves KEK. Enviar
Debe asegurarse de
miembros ICR SA del grupo. nuevas claves a los sub-servidores.
que en cualquier
Elimine todos los TEKs y KEKs Enviar nuevas claves a los miembros.
momento sólo hay un
inmediatamente en el grupo.
servidor raíz en un
Marcar todos los interlocutores
clúster de servidores.
inactivos. Eliminar todas las SA de
ICR del servidor del mismo nivel.
Enviar cluster-init al servidor raíz.
Tabla 69: Efectos del grupo VPNv2 cambios en la configuración del clúster de servidores (Continued)
Eliminar elemento del Marcar elemento del mismo nivel Marcar elemento del mismo nivel
mismo nivel inactivo. Borrar ICR SA del mismo inactivo. Borrar KEK. Borrar TEK.
nivel. Borrar ICR SA del mismo nivel.
Eliminar clúster de Enviar "eliminar todo" a los sub Eliminar todos los miembros ICR SA
servidor servidores. Elimine todos los TEKs del grupo. Elimine todos los TEKs y
y KEKs inmediatamente en el KEKs inmediatamente en el grupo.
grupo. Marcar todos los Elimine todos los miembros
interlocutores inactivos. Eliminar registrados del grupo. Marcar
todas las SA de ICR del servidor elemento del mismo nivel inactivo.
del mismo nivel. Generar nuevos Eliminar las SA de ICR del servidor del
TEKs y KEKs según la mismo nivel. Generar nuevos TEK y
configuración. KEK según la configuración.
Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX. En esta sección se describe cómo migrar un
servidor VPNv2 de grupo independiente a un grupo VPNv2 clúster de servidores.
1. Actualizar el grupo independiente VPNv2 servidor a un clúster de chasis. Consulte Guía de usuario
de clústeres de chasis para obtener más información acerca de los dispositivos serie SRX
Es necesario reiniciar durante la actualización de un dispositivo de serie SRX independiente a un
nodo del clúster del chasis. Se espera una pérdida de tráfico.
840
2. En el clúster del chasis, agregue la configuración del servidor raíz de clúster del servidor VPNv2 del
grupo. La función del servidor configurada para el root-serverclúster debe ser.
No debería haber pérdida de tráfico entre los miembros del grupo existentes durante el cambio de
configuración.
1. En el servidor raíz, configure una puerta de enlace de VPNv2 Server ICR de grupo y una puerta de
enlace de ICR del clúster de servidores para el subservidor. No debe afectar al SAs ni al tráfico
existente de los miembros.
2. En el subservidor, configure el clúster de servidor. Recuerde que la configuración del VPNv2 del
grupo debe ser la misma en todos los servidores del clúster, con excepción de las puertas de enlace
del servidor VPNv2 Server ICR, el rol del servidor en el clúster y las configuraciones del clúster de
servidores ICR puerta de enlace. En el subservidor, la función del servidor configurada en el clúster
sub-serverdebe ser. Configure un grupo VPNv2 puerta de enlace de ICR servidor y una puerta de
enlace de ICR del clúster de servidores para el servidor raíz.
1. En el servidor raíz, elimine el servidor VPNv2 puerta de enlace ICR de grupo y las configuraciones del
clúster de servidor ICR puerta de enlace para el subservidor. No debe afectar al SAs ni al tráfico
existente de los miembros.
2. Apague el sub-servidor.
SEE ALSO
in this section
Aplicables | 841
Automática | 845
Comproba | 915
841
En este ejemplo se muestra cómo configurar un clúster de servidor VPNv2 de grupo para proporcionar
redundancia y escalabilidad del controlador de grupo/servidor de claves (GCKS) a los miembros del
grupo VPNv2. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM,
SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Aplicables
El ejemplo utiliza los siguientes componentes de hardware y software:
• Ocho dispositivos serie SRX compatibles o instancias vSRX que se ejecute Junos OS Release 15.1-
D30 o posterior que admita el grupo VPNv2:
• Dos dispositivos o instancias están configurados para funcionar como un clúster de chasis. El
clúster de chasis funciona como servidor raíz en el clúster de servidor VPNv2 de grupo. Los
dispositivos o instancias deben tener la misma versión de software y licencias.
• Otros dos dispositivos o instancias funcionan como miembros del grupo VPNv2 grupo.
• Dos dispositivos compatibles con la serie MX que se ejecutan Junos OS versión 15.1 R2 o posterior
que admiten el grupo VPNv2. Estos dispositivos funcionan como miembros del grupo VPNv2.
En cada serie SRX dispositivo o instancia de vSRX, debe configurarse un nombre de host, una contraseña
de administrador raíz y un acceso de administración. Recomendamos que NTP también esté configurado
en cada dispositivo.
Las configuraciones de este ejemplo se centran en lo que se necesita para el funcionamiento de VPNv2
de grupo, basándose en la topología que se muestra en Figura 1la. Algunas configuraciones, como la
interfaz, el enrutamiento o las programaciones del clúster del chasis, no se incluyen aquí. Por ejemplo,
Group VPNv2 Operation requiere una topología de enrutamiento de trabajo que permita a los
dispositivos cliente llegar a sus sitios previstos por toda la red; Este ejemplo no cubre la configuración
del enrutamiento estático o dinámico.
Descripción general
in this section
Topología | 844
842
En este ejemplo, el grupo VPNv2 red está formado por un clúster de servidores y cuatro miembros. El
clúster de servidores se compone de un servidor raíz y cuatro subservidors. Dos de los miembros se
serie SRX dispositivos o instancias de vSRX mientras que los otros dos miembros son dispositivos de la
serie MX.
Las SA de grupo de VPN deben estar protegidas por una SA de fase 1. Por lo tanto, la configuración VPN
de grupo debe incluir la configuración ICR negociaciones de la fase 1 en el servidor raíz, los subservidors
y los miembros del grupo. Las configuraciones ICR se describen a continuación.
En el servidor raíz:
• La directiva SubSrv de ICR se utiliza para establecer las SA de la fase 1 con cada subservidor.
• Una puerta de enlace de ICR está configurada con detección de pares inactivos (DPD) para cada
subservidor.
• La función del clúster de root-server servidores es y cada subservidor está configurado como una
puerta de enlace de ICR para el clúster de servidores.
El servidor raíz debe configurarse para admitir el funcionamiento del clúster del chasis. En el ejemplo, las
interfaces Ethernet redundantes en el servidor raíz se conectan con cada uno de los subservidores del
clúster de servidores; no se muestra la configuración completa del clúster del chasis.
En cada sub-servidor:
• Se configuran dos políticas de ICR: RootSrvse utiliza para establecer una SA en la fase 1 con el
servidor raíz, GMs y se utiliza para establecer las SA de la fase 1 con cada miembro del grupo.
Las claves previamente compartidas se utilizan para fijar las SA de la fase 1 entre el servidor raíz y los
subdominios, y entre los subservidors y los miembros del grupo. Asegúrese de que las claves
previamente compartidas se utilizan con claves seguras. En los subservidors, la clave previamente
compartida configurada para la directiva RootSrv ICR debe coincidir con la clave previamente
compartida configurada en el servidor raíz, y la clave previamente compartida configurada GMs para
la Directiva ICR debe coincidir con la clave previamente compartida configurada en los miembros del
grupo.
• Una puerta de enlace de ICR está configurada con DPD para el servidor raíz. Además, se configura
una puerta de enlace de ICR para cada miembro del grupo.
• El rol de servidor de sub-server clústeres y el servidor raíz se configuran como ICR puerta de enlace
para el clúster de servidor.
• La directiva SubSrv de ICR se utiliza para establecer las SA de la fase 1 con los subservidors.
• La configuración de puerta de enlace de ICR incluye las direcciones para los subservidors.
843
En serie SRX dispositivos o miembros del grupo de vSRX, se configura una directiva IPsec para el grupo
con la zona de LAN como zona de entrada (tráfico entrante) y la zona de WAN como la zona a (tráfico
saliente). También se necesita una directiva de seguridad para permitir el tráfico entre las zonas LAN y
WAN.
El mismo identificador de grupo debe configurarse tanto en el servidor del grupo como en los miembros
del grupo. En este ejemplo, el nombre de grupo es GROUP_ID-0001 y el identificador de grupo es 1. La
Directiva de grupo configurada en el servidor especifica que la SA y la clave se aplican al tráfico entre las
subredes del intervalo 172.16.0.0/12.
844
Topología
Figura 54 en la página 844muestra los dispositivos Juniper Networks que se configurarán para este
ejemplo.
Figura 54: Agrupar VPNv2 clúster de servidores con miembros de la serie serie SRX o vSRX y MX
845
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set reth1 redundant-ether-options redundancy-group 1
user@host# set reth1 unit 0 description To_SubSrv01
user@host# set reth1 unit 0 family inet address 10.10.101.1/24
user@host# set reth2 redundant-ether-options redundancy-group 1
user@host# set reth2 unit 0 description To_SubSrv02
user@host# set reth2 unit 0 family inet address 10.10.102.1/24
user@host# set reth3 redundant-ether-options redundancy-group 1
user@host# set reth3 unit 0 description To_SubSrv03
user@host# set reth3 unit 0 family inet address 10.10.103.1/24
user@host# set reth4 redundant-ether-options redundancy-group 1
user@host# set reth4 unit 0 description To_SubSrv04
user@host# set reth4 unit 0 family inet address 10.10.104.1/24
[edit security zones security-zone GROUPVPN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces reth1.0
user@host# set interfaces reth2.0
user@host# set interfaces reth3.0
user@host# set interfaces reth4.0
[edit security policies global]
user@host# set policy 1000 match source-address any
user@host# set policy 1000 match destination-address any
user@host# set policy 1000 match application any
user@host# set policy 1000 match from-zone any
user@host# set policy 1000 match to-zone any
user@host# set policy 1000 then deny
user@host# set policy 1000 then log session-init
user@host# set policy 1000 then count
[edit security policies]
user@host# set default-policy deny-all
4. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfacescomandos, show chassis clustery y show
security para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las
instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
description To_SubSrv01;
family inet {
address 10.10.101.1/24;
}
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
description To_SubSrv02;
family inet {
address 10.10.102.1/24;
}
}
}
reth3 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
description To_SubSrv03;
family inet {
address 10.10.103.1/24;
}
}
}
reth4 {
852
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
description To_SubSrv04;
family inet {
address 10.10.104.1/24;
}
}
}
[edit]
user@host# show chassis cluster
reth-count 5;
redundancy-group 1 {
node 0 priority 254;
node 1 priority 1;
}
redundancy-group 0 {
node 0 priority 254;
node 1 priority 1;
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy SubSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway SubSrv01 {
ike-policy SubSrv;
address 10.16.101.1;
dead-peer-detection always-send;
local-address 10.10.101.1;
}
853
gateway SubSrv02 {
ike-policy SubSrv;
address 10.16.102.1;
dead-peer-detection always-send;
local-address 10.10.102.1;
}
gateway SubSrv03 {
ike-policy SubSrv;
address 10.16.103.1;
dead-peer-detection always-send;
local-address 10.10.103.1;
}
gateway SubSrv04 {
ike-policy SubSrv;
address 10.16.104.1;
dead-peer-detection always-send;
local-address 10.10.104.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
server-cluster {
server-role root-server;
ike-gateway SubSrv01;
ike-gateway SubSrv02;
ike-gateway SubSrv03;
ike-gateway SubSrv04;
retransmission-period 10;
}
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
854
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
855
}
interfaces {
reth1.0;
reth2.0;
reth3.0;
reth4.0;
}
}
}
Configuración de sub-Server 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_RootSrv
user@host# set ge-0/0/0 unit 0 family inet address 10.16.101.1/24
user@host# set ge-0/0/1 unit 0 description To_WAN
user@host# set ge-0/0/1 unit 0 family inet address 10.17.101.1/24
[edit security zones security-zone GROUPVPN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/0.0
user@host# set interfaces ge-0/0/1.0
[edit security policies global]
user@host# set policy 1000 match source-address any
user@host# set policy 1000 match destination-address any
user@host# set policy 1000 match application any
user@host# set policy 1000 match from-zone any
user@host# set policy 1000 match to-zone any
user@host# set policy 1000 then deny
858
3. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfacescomandos y show security para confirmar
la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_RootSrv;
family inet {
address 10.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_WAN;
family inet {
address 10.17.101.1/24;
}
}
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy RootSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
policy GMs {
mode main;
861
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123$ABC123"; ## SECRET-DATA
}
gateway RootSrv {
ike-policy RootSrv;
address 10.10.101.1;
dead-peer-detection always-send;
local-address 10.16.101.1;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.17.101.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.17.101.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.17.101.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.17.101.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
server-cluster {
server-role sub-server;
ike-gateway RootSrv;
862
retransmission-period 10;
}
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
863
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
ge-0/0/1.0;
}
}
}
Configuración de sub-Server 2
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_RootSrv
user@host# set ge-0/0/0 unit 0 family inet address 10.16.102.1/24
user@host# set ge-0/0/1 unit 0 description To_WAN
user@host# set ge-0/0/1 unit 0 family inet address 10.17.102.1/24
[edit security zones security-zone GROUPVPN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
866
3. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfaces comandos y show security para confirmar
la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_RootSrv;
family inet {
address 10.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_WAN;
family inet {
address 10.17.102.1/24;
}
}
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
869
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy RootSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
policy GMs {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123$ABC123"; ## SECRET-DATA
}
gateway RootSrv {
ike-policy RootSrv;
address 10.10.102.1;
dead-peer-detection always-send;
local-address 10.16.102.1;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.17.102.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.17.102.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.17.102.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.17.102.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
870
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
server-cluster {
server-role sub-server;
ike-gateway RootSrv;
retransmission-period 10;
}
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
871
}
then {
deny;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
ge-0/0/1.0;
}
}
}
Configuración de sub-Server 3
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
872
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_RootSrv
user@host# set ge-0/0/0 unit 0 family inet address 10.16.103.1/24
user@host# set ge-0/0/1 unit 0 description To_WAN
user@host# set ge-0/0/1 unit 0 family inet address 10.17.103.1/24
[edit security zones security-zone GROUPVPN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/0.0
user@host# set interfaces ge-0/0/1.0
[edit security policies global]
user@host# set policy 1000 match source-address any
user@host# set policy 1000 match destination-address any
user@host# set policy 1000 match application any
user@host# set policy 1000 match from-zone any
user@host# set policy 1000 match to-zone any
user@host# set policy 1000 then deny
user@host# set policy 1000 then log session-init
user@host# set policy 1000 then count
[edit security policies]
user@host# set default-policy deny-all
3. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfaces comandos y show security para confirmar
la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_RootSrv;
family inet {
877
address 10.16.103.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_WAN;
family inet {
address 10.17.103.1/24;
}
}
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy RootSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
policy GMs {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123$ABC123"; ## SECRET-DATA
}
gateway RootSrv {
ike-policy RootSrv;
address 10.10.103.1;
dead-peer-detection always-send;
local-address 10.16.103.1;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.17.103.1;
878
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.17.103.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.17.103.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.17.103.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
server-cluster {
server-role sub-server;
ike-gateway RootSrv;
retransmission-period 10;
}
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
879
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
880
interfaces {
ge-0/0/0.0;
ge-0/0/1.0;
}
}
}
Configuración de sub-Server 4
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_RootSrv
user@host# set ge-0/0/0 unit 0 family inet address 10.16.104.1/24
user@host# set ge-0/0/1 unit 0 description To_WAN
user@host# set ge-0/0/1 unit 0 family inet address 10.17.104.1/24
[edit security zones security-zone GROUPVPN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/0.0
user@host# set interfaces ge-0/0/1.0
[edit security policies global]
user@host# set policy 1000 match source-address any
user@host# set policy 1000 match destination-address any
user@host# set policy 1000 match application any
user@host# set policy 1000 match from-zone any
user@host# set policy 1000 match to-zone any
user@host# set policy 1000 then deny
user@host# set policy 1000 then log session-init
user@host# set policy 1000 then count
883
3. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfaces comandos y show security para confirmar
la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_RootSrv;
family inet {
address 10.16.104.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_WAN;
family inet {
address 10.17.104.1/24;
}
}
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy RootSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
policy GMs {
mode main;
886
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123$ABC123"; ## SECRET-DATA
}
gateway RootSrv {
ike-policy RootSrv;
address 10.10.104.1;
dead-peer-detection always-send;
local-address 10.16.104.1;
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.17.104.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.17.104.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.17.104.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.17.104.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
server-cluster {
server-role sub-server;
ike-gateway RootSrv;
887
retransmission-period 10;
}
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
888
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
ge-0/0/1.0;
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_LAN
user@host# set ge-0/0/0 unit 0 family inet address 172.16.101.1/24
user@host# set ge-0/0/1 unit 0 description To_SubSrv
user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24
[edit security zones security-zone LAN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone WAN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/1.0
[edit security]
user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12
[edit security policies from-zone LAN to-zone WAN]
user@host# set policy 1 match source-address 172.16.0.0/12
user@host# set policy 1 match destination-address 172.16.0.0/12
user@host# set policy 1 match application any
user@host# set policy 1 then permit
user@host# set policy 1 then log session-init
[edit security policies from-zone WAN to-zone LAN]
user@host# set policy 1 match source-address 172.16.0.0/12
user@host# set policy 1 match destination-address 172.16.0.0/12
user@host# set policy 1 match application any
user@host# set policy 1 then permit
891
3. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfaces comandos y show security para confirmar
la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_SubSrv;
family inet {
address 10.18.101.1/24;
}
}
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
893
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy SubSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123$ABC123"; ## SECRET-DATA
}
gateway SubSrv {
ike-policy SubSrv;
server-address [ 10.17.101.1 10.17.102.1 10.17.103.1
10.17.104.1 ];
local-address 10.18.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway SubSrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
from-zone LAN to-zone WAN {
ipsec-group-vpn GROUP_ID-0001;
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
894
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
895
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 description To_LAN
user@host# set ge-0/0/0 unit 0 family inet address 172.16.102.1/24
user@host# set ge-0/0/1 unit 0 description To_SubSrv
user@host# set ge-0/0/1 unit 0 family inet address 10.18.102.1/24
[edit security zones security-zone LAN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone WAN]
user@host# set host-inbound-traffic system-services ike
user@host# set host-inbound-traffic system-services ssh
user@host# set host-inbound-traffic system-services ping
user@host# set interfaces ge-0/0/1.0
[edit security]
user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12
[edit security policies from-zone LAN to-zone WAN]
user@host# set policy 1 match source-address 172.16.0.0/12
user@host# set policy 1 match destination-address 172.16.0.0/12
user@host# set policy 1 match application any
user@host# set policy 1 then permit
user@host# set policy 1 then log session-init
898
3. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, escriba los show interfaces comandos y show security para confirmar
la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_SubSrv;
family inet {
address 10.18.102.1/24;
}
}
}
[edit]
user@host# show security
900
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy SubSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123$ABC123"; ## SECRET-DATA
}
gateway SubSrv {
ike-policy SubSrv;
server-address [ 10.17.101.1 10.17.102.1 10.17.103.1
10.17.104.1 ];
local-address 10.18.102.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway SubSrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
from-zone LAN to-zone WAN {
ipsec-group-vpn GROUP_ID-0001;
}
}
policies {
from-zone LAN to-zone WAN {
901
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
deny;
log {
session-init;
}
902
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-
KS
set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
set interfaces xe-0/0/1 unit 0 family inet address 10.18.103.1/24
set interfaces xe-0/0/2 unit 0 family inet address 172.16.103.1/24
set interfaces ms-0/2/0 unit 0 family inet
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-
shared-keys
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc
set security group-vpn member ike policy SubSrv mode main
set security group-vpn member ike policy SubSrv proposals PSK-SHA256-DH14-AES256
set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123$ABC123"
set security group-vpn member ike gateway SubSrv ike-policy SubSrv
set security group-vpn member ike gateway SubSrv server-address 10.17.101.1
set security group-vpn member ike gateway SubSrv server-address 10.17.102.1
set security group-vpn member ike gateway SubSrv server-address 10.17.103.1
set security group-vpn member ike gateway SubSrv server-address 10.17.104.1
set security group-vpn member ike gateway SubSrv local-address 10.18.103.1
set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway SubSrv
set security group-vpn member ipsec vpn GROUP_ID-0001 group 1
set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output
set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400
set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.17.101.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.17.102.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.17.103.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.17.104.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks then skip
904
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.17.101.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.17.102.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.17.103.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.17.104.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address
172.16.0.0/12
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0
set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet address 10.18.103.1/24
user@host# set xe-0/0/2 unit 0 family inet address 172.16.103.1/24
user@host# set ms-0/2/0 unit 0 family inet
3. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show securityescriba
show serviceslos comandos show firewall ,, y. Si el resultado no muestra la configuración deseada, repita
las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.103.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.103.1/24;
}
}
}
ms-0/2/0 {
907
unit 0 {
family inet;
}
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy SubSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123$ABC123"; ## SECRET-DATA
}
gateway SubSrv {
ike-policy SubSrv;
server-address [ 10.17.101.1 10.17.102.1 10.17.103.1
10.17.104.1 ];
local-address 10.18.103.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway SubSrv;
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
908
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
source-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
909
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-
KS
set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
set interfaces xe-0/0/1 unit 0 family inet address 10.18.104.1/24
set interfaces xe-0/0/2 unit 0 family inet address 172.16.104.1/24
set interfaces ms-0/2/0 unit 0 family inet
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-
shared-keys
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256
set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc
set security group-vpn member ike policy SubSrv mode main
set security group-vpn member ike policy SubSrv proposals PSK-SHA256-DH14-AES256
set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123$ABC123"
set security group-vpn member ike gateway SubSrv ike-policy SubSrv
set security group-vpn member ike gateway SubSrv server-address 10.17.101.1
set security group-vpn member ike gateway SubSrv server-address 10.17.102.1
set security group-vpn member ike gateway SubSrv server-address 10.17.103.1
set security group-vpn member ike gateway SubSrv server-address 10.17.104.1
set security group-vpn member ike gateway SubSrv local-address 10.18.104.1
set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway SubSrv
set security group-vpn member ipsec vpn GROUP_ID-0001 group 1
set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output
set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400
set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.17.101.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.17.102.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.17.103.1/32
910
set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.17.104.1/32
set firewall family inet service-filter GroupVPN-KS term inbound-ks then skip
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.17.101.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.17.102.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.17.103.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address
10.17.104.1/32
set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address
172.16.0.0/12
set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0
set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit interfaces]
user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter
GroupVPN-KS
user@host# set xe-0/0/1 unit 0 family inet address 10.18.104.1/24
user@host# set xe-0/0/2 unit 0 family inet address 172.16.104.1/24
user@host# set ms-0/2/0 unit 0 family inet
911
3. Configure la SA de IPsec.
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show securityescriba
show serviceslos comandos show firewall ,, y. Si el resultado no muestra la configuración deseada, repita
las instrucciones de este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.104.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.104.1/24;
}
913
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy SubSrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text ""$ABC123$ABC123"; ## SECRET-DATA
}
gateway SubSrv {
ike-policy SubSrv;
server-address [ 10.17.101.1 10.17.102.1 10.17.103.1
10.17.104.1 ];
local-address 10.18.104.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway SubSrv;
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
914
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
source-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
915
}
}
Comproba
in this section
Purpose
Compruebe que los dispositivos del clúster de servidores reconocen servidores del mismo nivel en el
grupo. Asegúrese de que los servidores están activos y que las funciones del clúster están asignadas
correctamente.
Intervención
Desde el modo operativo, introduzca show security group-vpn server server-clusterlos show security
group-vpn server server-cluster detailcomandos, show security group-vpn server statistics y en el
servidor raíz.
CLUSTER-INIT abort: 0
CLUSTER-INIT timeout: 0
CLUSTER-UPDATE send: 2
CLUSTER-UPDATE recv: 0
CLUSTER-UPDATE success: 2
CLUSTER-UPDATE fail: 0
CLUSTER-UPDATE abort: 0
CLUSTER-UPDATE timeout: 0
CLUSTER-UPDATE pending: 0
CLUSTER-UPDATE max retry reached: 0
DPD send: 676
DPD send fail: 0
DPD ACK recv: 676
DPD ACK invalid seqno: 0
IPsec SA policy mismatch: 0
IPsec SA proposal mismatch: 0
KEK SA proposal mismatch: 0
Desde el modo operativo, escriba show security group-vpn server server-clusterlos show security
group-vpn server server-cluster detailcomandos, show security group-vpn server statistics y en cada
sub-servidor.
Purpose
Compruebe que los subservidors han recibido SAs para la distribución a los miembros del grupo y que
los miembros del grupo han recibido el SAs.
Intervención
Desde el modo operativo, escriba show security group-vpn server kek security-associations los show
security group-vpn server kek security-associations detail comandos y en el servidor raíz.
Desde el modo operativo, escriba show security group-vpn server kek security-associations los show
security group-vpn server kek security-associations detail comandos y en cada sub-servidor.
En modo operativo, escriba los show security group-vpn member kek security-associations comandos
show security group-vpn member kek security-associations detail y en cada miembro del grupo.
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
922
Purpose
Intervención
Desde el modo operativo, escriba show security group-vpn server ike security-associations los show
security group-vpn server ike security-associations detail comandos y en el servidor raíz.
Desde el modo operativo, escriba show security group-vpn server ike security-associations los show
security group-vpn server ike security-associations detail comandos y en cada sub-servidor.
Encryption : aes256-cbc
Pseudo random function: hmac-sha256
Diffie-Hellman group : DH-group-14
Traffic statistics:
Input bytes : 181444
Output bytes : 178084
Input packets: 1646
Output packets: 1646
Flags: IKE SA is created
Purpose
Muestra las asociaciones de seguridad IPsec (SA) en los servidores y miembros del grupo.
Intervención
Desde el modo operativo, escriba show security group-vpn server ipsec security-associations los show
security group-vpn server ipsec security-associations detail comandos y en el servidor raíz.
Destination Port: 0
Protocol: 0
Desde el modo operativo, escriba show security group-vpn server ipsec security-associations los show
security group-vpn server ipsec security-associations detail comandos y en cada sub-servidor.
Desde el modo operativo, escriba show security group-vpn member ipsec security-associations los
show security group-vpn member ipsec security-associations detail comandos y en cada miembro del
grupo
Purpose
Este comando no está disponible para los miembros del grupo de la serie MX.
928
Intervención
Desde el modo operativo, escriba el comando en los miembros del show security group-vpn member
policy grupo SRX vSRX grupo.
SEE ALSO
VÍNCULOS RELACIONADOS
ADVPN
in this section
Descripción del enrutamiento del tráfico con túneles de acceso directo | 936
Ejemplo Mejorar la utilización de recursos de red con detección automática de túneles dinámicos de
VPN | 939
Permitir que OSPF actualice las rutas rápidamente después de establecer los túneles de ADVPN | 1033
La VPN de descubrimiento automático (ADVPN) establece dinámicamente túneles VPN entre los radios
para evitar el enrutamiento de tráfico a través del concentrador.
in this section
Protocolo ADVPN
ADVPN usa una extensión del protocolo IKEv2 para intercambiar mensajes entre dos pares, lo que
permite que los radios establezcan un túnel de acceso directo entre sí. Los dispositivos que admiten la
extensión ADVPN ADVPN_SUPPORTED envían una notificación en la carga NOTIFY de IKEv2, incluida
su información de funcionalidad y el número de versión ADVPN, durante el ICR inicial de Exchange. Un
dispositivo que admite ADVPN puede actuar como una sugerencia de acceso directo o como un socio
de acceso directo, pero no ambos.
Una puerta de enlace VPN IPsec puede actuar como una sugerencia de acceso directo cuando advierte
que el tráfico sale de un túnel con uno de sus homólogos y entra en un túnel con otro interlocutor.
Figura 55 en la página 931 muestra el tráfico desde los radios 1 a radios 3 que pasan a través del
concentrador.
La sugerencia de acceso directo usa sus SA IKEv2 ya establecidas con los iguales del mismo nivel para
comenzar un intercambio de accesos directos con uno de los dos interlocutores. Si el interlocutor acepta
932
el intercambio de acceso directo, comienza un intercambio de accesos directos con el otro interlocutor.
El intercambio de accesos directos incluye información que permite a los interlocutores (denominados
socios de acceso directo) establecer asociaciones de ICR y IPSec entre sí. La creación del acceso directo
entre los socios de accesos directos solo se inicia cuando ambos interlocutores aceptan el intercambio
de accesos directos.
Figura 56 en la página 932muestra el tráfico que pasa a través de un acceso directo entre los radios 1 y
3. El tráfico de radios 1 a radios 3 no necesita atravesar el concentrador.
Figura 56: Tráfico de radio a radio que pasa por el acceso directo
La sugerencia de acceso directo elige uno de los asociados de acceso directo para que actúe como
iniciador para el acceso directo; el otro socio actúa como el contestador. Si uno de los socios está detrás
de un dispositivo TDR, el asociado que subyace al dispositivo TDR será elegido como iniciador. Si
ninguno de los socios está detrás de un dispositivo TDR, entonces la persona que sugiere elige
aleatoriamente uno de los socios como iniciador; el otro socio actúa como el contestador. Si ambos
socios están detrás de TDR dispositivos, no es posible crear un acceso directo entre ellos; el deparador
no envía un intercambio de accesos directos a ninguno de los interlocutores.
Si los socios rechazan la sugerencia de método abreviado, los socios lo notificarán a la propuesta con la
razón del rechazo. En este caso, el tráfico entre los socios sigue fluyendo a través de la sugerencia de
acceso directo.
El acceso directo recibe algunos de sus atributos de la sugerencia de acceso directo, mientras que otros
atributos se heredan de la configuración de túnel de VPN de asociado de negocios de sugerencias. Tabla
70 en la página 933 muestra los parámetros del acceso directo.
Atributo Recibidos/heredados de
ADVPN Automática
Antireplay Automática
Bit DF Automática
Atributo Recibidos/heredados de
Protocolo Automática
ID de proxy No aplicable
De forma predeterminada, el acceso directo se mantiene de manera indefinida. Los socios de acceso
directo terminan el acceso directo si el tráfico cae por debajo de una velocidad especificada durante un
tiempo especificado. De forma predeterminada, el acceso directo se interrumpe si el tráfico cae por
debajo de 5 paquetes por segundo durante 900 segundos; los valores de umbral de tiempo inactivo y de
inactividad son configurables para los socios. El acceso directo puede eliminarse manualmente en
cualquier socio de acceso clear security ike security-association directo clear security ipsec security-
association con los comandos o para borrar el ICR o SA IPsec correspondiente. Cualquiera de los
asociados de acceso directo puede terminar el acceso directo en cualquier momento mediante el envío
de una carga de eliminación IKEv2 al otro asociado de acceso directo.
Cuando se termina el acceso directo, se eliminan el ICR SA correspondiente y todas las SA IPsec
secundarias. Una vez finalizado el acceso directo, la ruta correspondiente se elimina tanto en los socios
de acceso directo como en el tráfico entre dos del mismo nivel de nuevo a través de la sugerencia. La
información de finalización de acceso directo se envía de un socio a la empresa de sugerencias.
La duración de un acceso directo es independiente del túnel entre el sugierero y el asociado de acceso
directo. El acceso directo no se termina simplemente porque se termina el túnel entre el sugiere y el
asociado de negocios.
• ADVPN solo se admite para comunicaciones de sitio a sitio. La configuración de un sugerir ADVPN
solo se permite en concentradores de AutoVPN.
• No puede configurar los roles de sugerencias y de socios. Cuando ADVPN está habilitado en una
puerta de enlace, no puede deshabilitar los roles de sugerencias y de socios en la puerta de enlace.
• Como se mencionó anteriormente, no se puede crear un acceso directo entre socios que se
encuentren detrás TDR dispositivos. El proceso de inicio puede iniciar un intercambio de acceso
directo si sólo uno de los socios se encuentra detrás de un dispositivo TDR o si ningún socio está
detrás TDR dispositivos.
1. A partir de Junos OS Release 19.2 R1, en SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500,
vSRX 2,0 (con 2 vCPUs) y los dispositivos de la serie vSRX 3,0 (con 2 vCPUs), la multidifusión de
protocolo independiente (PIM) con el modo punto a multipunto (P2MP) admite VPN de p2mp
detección automática en la que se introduce un nuevo tipo de interfaz para PIM. La p2mp interfaz
realiza un seguimiento de todas las uniones PIM por vecino para garantizar que el reenvío de
multidifusión o la replicación solo se produzca en aquellos vecinos que se encuentren en estado
unido.
936
• IKEv1
• Selectores de tráfico
Las proprevistos de túnel o los cambios catastróficos pueden ocasionar que los túneles estáticos y los
túneles de acceso directo se desconecten. Cuando esto ocurre, el tráfico hacia un destino específico
podría enrutarse a través de un túnel de acceso directo inesperado, en lugar de hacerlo a través de un
túnel estático esperado.
En Figura 57 en la página 937, existen túneles estáticos entre el concentrador y cada uno de los radios.
OSPF adyacencias se establecen entre el concentrador y los radios. Los radios A también tienen un túnel
de acceso directo con radios B y las adyacencias OSPF se establecen entre los radios. El concentrador (el
sugerente de accesos directos) reconoce que si la conectividad entre el concentrador y spoke A
937
desaparece, se puede llegar a la red de Spoke A a través del túnel de acceso directo entre radio B y radio
A.
Figura 57: Túneles estáticos y túneles de accesos directos establecidos en la red radial
En Figura 58 en la página 937, el túnel estático entre el concentrador y el radio A está inactivo. Si hay
nuevo tráfico de radios C a radios a, radios C reenvía el tráfico al concentrador, ya que no tiene un túnel
de acceso directo con radios A. El concentrador no tiene un túnel estático activo con los radios A pero
reconoce que hay un túnel de acceso directo entre los radios A y B, por lo que reenvía el tráfico de los
radios C a los radios B.
Siempre que tanto el soporte de la red privada virtual de descubrimiento automático (ADVPN) de radios
B y Spoke C, el concentrador pueda sugerir que los radios establecen un acceso directo directo entre sí.
Esto ocurre incluso aunque no haya tráfico directo entre los dos radios. El tráfico de radios C a radios
atraviesa el túnel de acceso directo entre radios C y Spoke B y, a continuación, a través del túnel de
acceso directo entre los Figura 59 en la página 938radios B y los radios a (consulte).
Figura 59: Ruta de tráfico desde radios C hacia radios a a través de túneles de acceso directo
Cuando se restablece el túnel estático entre el concentrador y el radio A, el túnel se anuncia a todos los
radios. Spoke C descubre que hay una ruta mejor para alcanzar los radios a; en lugar de pasar tráfico a
través de la radio B, reenvía el tráfico de los radios de la a al concentrador. El concentrador sugiere que
se establezca un túnel de acceso directo entre los radios C y radios A. Cuando se establece el túnel de
acceso directo entre radios C y radios A, el tráfico fluye a través del Figura 60 en la página 939túnel de
939
acceso directo (consulte). El tráfico entre los radios C y Spoke deja de ser viaja a través de radios B, y el
túnel de acceso directo entre los radios B y Spokes C finalmente desaparece.
Figura 60: Ruta de tráfico desde radios C hacia radios a a través de túnel de acceso directo
Puede usar la connection-limit opción en el nivel deedit security ike gateway gateway-name advpn
partnerjerarquía [] para establecer el número máximo de túneles de acceso directo que se pueden crear
con distintos socios de acceso directo que utilizan una puerta de enlace concreta. El número máximo,
que también es el valor predeterminado, depende de la plataforma.
SEE ALSO
in this section
Aplicables | 940
Automática | 946
Comproba | 971
Si va a implementar una red AutoVPN, es posible que pueda aumentar la utilización de recursos de red si
configura la VPN de detección automática (ADVPN). En las redes AutoVPN, el tráfico VPN fluye a través
del concentrador incluso cuando el tráfico viaja de un radio a otro. ADVPN permite que los túneles VPN
se establezcan dinámicamente entre los radios, lo que puede dar como resultado un mejor uso de los
recursos de la red. Use este ejemplo para configurar ADVPN para activar túneles VPN de radios
dinámicos en su red AutoVPN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
• Certificados digitales inscritos en el concentrador y los radios que permiten que los dispositivos se
autentiquen entre sí.
Antes de empezar:
2. Inscriba los certificados digitales en cada dispositivo. Consulte ejemplo: Carga manualde CA y
certificados locales.
En este ejemplo se utilizan el protocolo de enrutamiento OSPF dinámico, así como configuraciones de
rutas estáticas para reenviar paquetes a través de túneles VPN. Debe estar familiarizado con el
protocolo de enrutamiento dinámico OSPF que se utiliza para reenviar paquetes a través de los túneles
VPN.
Descripción general
in this section
Topología | 944
941
En este ejemplo se muestran las configuraciones de un concentrador AutoVPN y dos radios para
ADVPN. Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite
comunicarse entre sí, así como con tener acceso a los recursos del concentrador. Mientras que el tráfico
se transfiere inicialmente de un radio al otro a través del concentrador, ADVPN permite que los radios
establezcan una asociación de seguridad directa entre sí. El concentrador actúa como una sugerencia de
acceso directo. En el concentrador, la configuración de ADVPN partner deshabilita la función. En los
radios, la configuración de ADVPN deshabilita suggester la función.
Algunas de las fases 1 y 2 ICR opciones de túnel configuradas en el concentrador AutoVPN y los radios
deben tener los mismos valores. Tabla 71 en la página 941 muestra los valores utilizados en este
ejemplo.
Tabla 71: Opciones de fase 1 y fase 2 para AutoVPN concentrador y radios para ADVPN ejemplo
, Valor
ICR propuesta:
Directiva de ICR:
Versi v2-only
Propuesta de IPsec:
942
Tabla 71: Opciones de fase 1 y fase 2 para AutoVPN concentrador y radios para ADVPN ejemplo
(Continued)
, Valor
Protocolo sensorial
Directiva IPsec:
La configuración de puerta de enlace de ICR en el concentrador y los radios incluye valores locales y
remotos que identifican los homólogos de VPN. Tabla 72 en la página 942 muestra la configuración de
puerta de enlace de ICR para el concentrador y los radios de este ejemplo.
, Navegación Radios
Radios 2: 11.1.1.1
Radios 2: 31.1.1.2
ID. de ICR remoto Nombre distinguido (DN) con la cadena DN con la cadena "Ventas" en el
"" en el campo organización (O) y campo UO del certificado del
"Ventas" en el campo unidad de concentrador
organización (UO) en los certificados
de los radios
943
Tabla 72: ICR configuración de puerta de enlace para ADVPN ejemplo (Continued)
, Navegación Radios
El concentrador autentica el ID de ICR de radio si los campos de asunto de los certificados de radio
contienen la cadena "" en el campo O y "Ventas" en el campo UO.
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
944
Topología
Figura 61 en la página 945muestra los dispositivos serie SRX que se configurarán para este ejemplo.
945
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/3 gigether-options redundant-parent reth0
user@host# set ge-0/0/4 gigether-options redundant-parent reth1
user@host# set ge-7/0/3 gigether-options redundant-parent reth0
user@host# set ge-7/0/4 gigether-options redundant-parent reth1
user@host# set reth0 redundant-ether-options redundancy-group 1
user@host# set reth0 unit 0 family inet address 10.1.1.1/24
user@host# set reth1 redundant-ether-options redundancy-group 1
user@host# set reth1 unit 0 family inet address 11.1.1.1/24
user@host# set st0 unit 1 multipoint
user@host# set st0 unit 1 family inet address 172.16.1.1/24
6. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/3 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/4 {
951
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/3 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/4 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.1.1.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 11.1.1.1/24;
}
}
}
st0 {
unit 1 {
multipoint;
family inet {
address 172.16.1.1/24;
}
}
}
[edit]
952
dynamic {
distinguished-name {
wildcard O=XYZ, OU=Sales;
}
ike-user-type group-ike-id;
}
dead-peer-detection {
}
local-identity distinguished-name;
external-interface reth1.0
local-address 11.1.1.1;
advpn {
partner {
disable;
}
suggester {
]
}
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn SUGGESTER_VPN {
bind-interface st0.1;
ike {
gateway SUGGESTER_GW;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security pki
ca-profile advpn {
954
ca-identity advpn;
enrollment {
url http://10.157.92.176:8080/scep/advpn/;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/3 gigether-options redundant-parent reth0
957
6. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/3 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/4 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/3 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/4 {
gigether-options {
redundant-parent reth1;
}
}
960
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 25.1.1.1/24;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 21.1.1.2/24;
}
}
}
st0 {
unit 1 {
multipoint;
family inet {
address 172.16.1.2/24;
}
}
}
[edit]
user@host# show protocols
ospf {
graceful-restart {
restart-duration 300;
notify-duration 300;
no-strict-lsa-checking;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
metric 15;
retransmit-interval 1;
dead-interval 40;
demand-circuit;
961
dynamic-neighbors;
}
interface reth0.0;
}
}
[edit]
user@host# show routing-options
graceful-restart;
static {
route 11.1.1.0/24 next-hop 21.1.1.1;
route 31.1.1.0/24 next-hop 21.1.1.1;
}
router-id 172.16.1.2;
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate Partner1_Certificate_ID;
}
}
gateway PARTNER_GW {
ike-policy IKE_POL;
address 11.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name container OU=Sales;
external-interface reth1;
local-address 21.1.1.2;
advpn {
suggester {
disable;
}
partner {
}
}
version v2-only;
}
962
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
}
vpn PARTNER_VPN {
bind-interface st0.1;
ike {
gateway PARTNER_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
[edit]
user@host# show security pki
ca-profile advpn {
ca-identity advpn;
enrollment {
url http://10.157.92.176:8080/scep/advpn/;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
reth0.0;
963
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/2 unit 0 family inet address 31.1.1.2/24
user@host# set ge-0/0/4 unit 0 family inet address 36.1.1.1/24
user@host# set st0 unit 1 multipoint
user@host# set st0 unit 1 family inet address 172.16.1.3/24
6. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/2 {
unit 0 {
family inet {
address 31.1.1.2/24;
}
}
968
}
ge-0/0/4{
unit 0 {
family inet {
address 36.1.1.1/24;
}
}
}
st0 {
unit 1 {
multipoint;
family inet {
address 172.16.1.3/24;
}
}
}
[edit]
user@host# show protocols
ospf {
graceful-restart {
restart-duration 300;
notify-duration 300;
no-strict-lsa-checking;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
metric 15;
retransmit-interval 1;
dead-interval 40;
demand-circuit;
dynamic-neighbors;
}
interface ge-0/0/4.0;
}
}
[edit]
user@host# show routing-options
graceful-restart;
static {
route 11.1.1.0/24 next-hop 31.1.1.1;
route 21.1.1.0/24 next-hop 31.1.1.1;
}
969
router-id 172.16.1.3;
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy IKE_POL {
proposals IKE_PROP;
certificate {
local-certificate Partner2_Certificate_ID
}
}
gateway PARTNER_GW {
ike-policy IKE_POL;
address 11.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name container OU=Sales;
external-interface ge-0/0/2.0;
local-address 31.1.1.2;
advpn {
suggester{
disable;
}
partner {
}
}
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group5;
}
proposals IPSEC_PROP;
970
}
vpn PARTNER_VPN {
bind-interface st0.1;
ike {
gateway PARTNER_GW;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
[edit]
user@host# show security pki
ca-profile advpn {
ca-identity advpn;
enrollment {
url http://10.157.92.176:8080/scep/advpn/;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/4.0;
st0.1;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
971
ge-0/0/2.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Comproba
in this section
Confirme que la configuración funciona correctamente. En primer lugar, compruebe que se establecen
los túneles entre el concentrador y los radios de AutoVPN. Cuando el tráfico pasa de un radio a otro a
través del concentrador, se puede establecer un acceso directo entre los radios. Compruebe que los
socios de accesos directos han establecido un túnel entre ellos y que se ha instalado una ruta al mismo
nivel en los socios comerciales.
Purpose
Compruebe que se han establecido los túneles entre el concentrador y los radios de AutoVPN. El tráfico
inicial de un radio a otro debe atravesar el concentrador.
Intervención
Desde el modo operativo, escriba show security ike security-associations los show security ipsec
security-associations comandos y en el concentrador y los radios.
972
Input packets: 4
Output packets: 4
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. El
show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. El
concentrador muestra dos túneles activos, uno a cada radio. Cada radio muestra un túnel activo hacia el
concentrador.
Si no se enumera ninguna SA para ICR fase 1, se produjo un problema con el establecimiento de la fase
1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.
982
Si no se enumera ninguna SA para ICR fase 2, se produjo un problema con el establecimiento de la fase
2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración. Los parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.
El show route protocol ospf comando muestra entradas de la tabla de enrutamiento que se aprendieron
desde el protocolo OSPF. El show ospf neighbor comando muestra información acerca de OSPF vecinos.
Purpose
El concentrador AutoVPN puede actuar como una sugerencia de atajo cuando advierte que el tráfico
sale de un túnel con uno de sus radios y entra en un túnel con otro radio. Se establece una nueva
asociación de IPsec, o acceso directo, entre los dos socios de acceso directo. En cada socio, la ruta hacia
la red que se encuentra detrás de su socio apunta ahora al túnel de acceso directo en lugar de al túnel
entre el socio comercial y el desugeridor (hub).
Intervención
Desde el modo operativo, escriba show security ike security-associationslos show security ipsec
security-associationscomandos show route protocol ospf,, show ospf neighbor y en los radios.
Suggestions sent : 1
Suggestions accepted: 1
Suggestions declined: 0
Role: Responder, State: UP
Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0
Exchange type: IKEv2, Authentication method: RSA-signatures
Local: 11.1.1.1:500, Remote: 31.1.1.2:500
Lifetime: Expires in 27781 seconds
Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US
Xauth user-name: not available
Xauth assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : aes256-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-5
Traffic statistics:
Input bytes : 260
Output bytes : 548
Input packets: 3
Output packets: 3
IPSec security associations: 0 created, 0 deleted
Phase 2 negotiations in progress: 1
11.1.1.1
578873 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2
31.1.1.2
Traffic statistics:
Input bytes : 2571
Output bytes : 2290
Input packets: 7
Output packets: 7
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. El
show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. El
concentrador sigue mostrando dos túneles activos: uno a cada radio. Cada radio muestra dos túneles
activos, uno al concentrador y otro al asociado de acceso directo.
El show route protocol ospf comando muestra la adición de rutas al asociado y al concentrador.
SEE ALSO
in this section
Aplicables | 996
Automática | 1000
Comproba | 1030
996
En este ejemplo se muestra cómo configurar un concentrador de ADVPN y dos radios para crear un
túnel de acceso directo y cambiar la topología de enrutamiento del host para que alcance al otro, sin
enviar tráfico a través del concentrador. En este ejemplo, se configura el entorno de ADVPN para IPv6
utilizando el OSPFv3 para reenviar paquetes a través de los túneles VPN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a
través de los túneles VPN.
Descripción general
in this section
Topología | 999
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo
de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad
organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SLT" en el campo DE UNIDAD.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse
entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de
túnel configuradas en el concentrador ADVPN y todos los radios deben tener los mismos valores. Tabla
73 en la página 997 muestra las opciones utilizadas en este ejemplo.
997
Tabla 73: Opciones de fase 1 y fase 2 para ADPN Hub y Spoke OSPFv3 configuraciones básicas
, Valor
ICR propuesta:
Directiva de ICR:
Medio Principalmente
Propuesta de IPsec:
Protocolo SENSORIAL
Directiva IPsec:
Tabla 74 en la página 998muestra las opciones configuradas en el concentrador y en todos los radios.
998
Tabla 74: ADVPN OSPFv3 configuración para concentrador y todos los radios
Radios 2: ge-0/0/0.0
VIRTUALES
Tabla 75 en la página 998muestra las opciones de configuración que son diferentes en cada radio.
, Radios 1 Radios 2
La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
Topología
Figura 62 en la página 999en este ejemplo se muestra el serie SRX dispositivos que se configurarán
para ADVPN.
Automática
in this section
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email hub@example.net ip-address 1.1.1.1 subject
DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Fingerprint:
e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1)
a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject
DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
1003
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
1004
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject
DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password
<password>
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
Configurando el concentrador
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
1006
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit interfaces]
user@host# set ge-0/0/0 gigether-options redundant-parent reth1
user@host# set ge-0/0/1 gigether-options redundant-parent reth0
user@host# set ge-7/0/0 gigether-options redundant-parent reth1
1008
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth0;
}
1011
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet;
family inet6 {
address 2001:db8:1000::1/64;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet;
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
st0 {
unit 1 {
multipoint;
family inet6 {
address 2001:db8:9000::1/64 {
primary;
}
}
}
}
[edit]
user@host# show protocols
ospf3 {
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
demand-circuit;
dynamic-neighbors;
}
interface ge-0/0/1.0;
1012
interface reth0.0;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:3000::/64 next-hop 2001:db8:2000::2;
route 2001:db8:5000::/64 next-hop 2001:db8:2000::2;
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate HUB;
}
}
gateway IKE_GWA_1 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface reth1;
advpn {
1013
partner {
disable;
}
}
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPNA_1 {
bind-interface st0.1;
ike {
gateway IKE_GWA_1;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
st0.1;
reth1.0;
}
}
security-zone trust {
1014
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
reth0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Configuración de radios 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
1015
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64
user@host# set st0 unit 1 multipoint
user@host# set st0 unit 1 family inet6 address 2001:db8:9000::2/64
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
1019
family inet6 {
address 2001:db8:3000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:4000::1/64;
}
}
}
st0 {
unit 1 {
multipoint;
family inet6 {
address 2001:db8:9000::2/64;
}
}
}
[edit]
user@host# show protocols
ospf3 {
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
dynamic-neighbors;
}
interface ge-0/0/1.0;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ];
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
1020
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE1;
}
}
gateway IKE_GW_SPOKE_1 {
ike-policy IKE_POL;
address 2001:db8:2000::1;
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
remote-identity distinguished-name container OU=SLT;
external-interface ge-0/0/0.0;
advpn {
suggester {
disable;
}
}
version v2-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPN_SPOKE_1 {
1021
bind-interface st0.1;
ike {
gateway IKE_GW_SPOKE_1;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
st0.1;
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
1022
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Configuración de radios 2
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64
user@host# set st0 unit 1 family inet6 address 2001:db8:9000::3/64
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:5000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:6000::1/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:9000::3/64;
}
}
}
1027
[edit]
user@host# show protocols
ospf3 {
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
dynamic-neighbors;
}
interface ge-0/0/1.0;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ];
}
}
[edit]
user@host# show security ike
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE2;
}
}
gateway IKE_GW_SPOKE_2 {
ike-policy IKE_POL;
address 2001:db8:2000::1;
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
1028
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Comproba
in this section
Purpose
Intervención
Efectos
El show security ike sa comando enumera todas las SA activas de ICR Phase 1. Si no se enumera
ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de
directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los
parámetros de propuesta deben coincidir en el concentrador y los radios.
1031
Purpose
Intervención
Efectos
El show security ipsec sa comando enumera todas las SA activas de ICR Phase 2. Si no se enumera
ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de
directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de
propuesta de la fase 2 deben coincidir en el concentrador y los radios.
Purpose
Intervención
ID XAUTH username
2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US,
DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-
Available
2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US,
DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-
Available
2001:db8::5668:ad10:fcd8:10c8 st0.1 IPSEC_VPNA_1 Auto C=US,
DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-
Available
2001:db8::5668:ad10:fcd8:112f st0.1 IPSEC_VPNA_1 Auto C=US,
DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.
Comprobando OSPFv3
Purpose
Compruebe que OSPFv3 hace referencia a las direcciones IP st0 de las interfaces de los radios.
Intervención
SEE ALSO
in this section
Relacionado | 1033
Solución | 1034
Relacionado
Descripción
OSPF puede tardar hasta 9 segundos en actualizar una ruta de acceso directo en la tabla de
enrutamiento. Puede tardar hasta 10 segundos antes de que el tráfico se reenvíe al túnel de acceso
directo.
Síntomas
Cuando se establece un túnel de acceso directo entre dos socios de acceso directo, OSPF inicia un
paquete OSPF Hello. Debido al tiempo de establecimiento del túnel de acceso directo y al OSPF de la
instalación de vecinos, es posible que se interrumpa el primer paquete del túnel. Esto puede hacer que
OSPF intente de nuevo establecer una adyacencia OSPF.
Solución
La configuración de un intervalo de reintentos más pequeño, como 1 o 2 segundos, puede permitir que
OSPF establezcan adyacencias más rápidamente a través del túnel de acceso directo. Por ejemplo, utilice
las configuraciones siguientes:
[edit]
set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1
set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40
SEE ALSO
release-history
release heading desc heading in release-history
in release-
history
19.2R1 A partir de Junos OS Release 19.2 R1, en SRX300, SRX320, SRX340, SRX345, SRX550,
SRX1500, vSRX 2,0 (con 2 vCPUs) y los dispositivos de la serie vSRX 3,0 (con 2 vCPUs), la
multidifusión de protocolo independiente (PIM) con el modo punto a multipunto (P2MP)
admite VPN de p2mp detección automática en la que se introduce un nuevo tipo de interfaz
para PIM.
18.1R1 A partir de Junos OS versión 18.1 R1, ADVPN es compatible con IPv6.
VÍNCULOS RELACIONADOS
AutoVPN
in this section
Ejemplo Configuración de AutoVPN básicos con iBGP para el tráfico de IPv6 | 1080
Ejemplo Configuración de AutoVPN con túneles de iBGP y de copia de seguridad activa | 1154
Ejemplo Reenvío de tráfico a través de un túnel AutoVPN con selectores de tráfico | 1265
Ejemplo Cómo garantizar la disponibilidad del túnel VPN con AutoVPN y los selectores de tráfico | 1288
AutoVPN admite un agregador VPN de IPsec (conocido como un concentrador) que funciona como un
único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN
permite a los administradores de red configurar un concentrador para los radios actuales y futuros.
Descripción de AutoVPN
in this section
Authentication | 1038
AutoVPN admite un agregador VPN de IPsec (conocido como un concentrador) que funciona como un
único punto de terminación para varios túneles a sitios remotos (conocidos como radios). AutoVPN
permite a los administradores de red configurar un concentrador para los radios actuales y futuros.
Cuando se agregan o eliminan dispositivos radiales, no es necesario realizar cambios de configuración en
el concentrador, lo que permite a los administradores la flexibilidad de administrar implementaciones de
red a gran escala.
AutoVPN es compatible con VPN de IPsec basadas en rutas. En el caso de las VPN basadas en la ruta,
puede configurar una interfaz de túnel seguro (st0) y enlazarla con un túnel VPN de IPsec. las interfaces
st0 en las redes AutoVPN se pueden configurar en uno de estos dos modos:
• Modo punto a punto: de forma predeterminada, una interfaz st0 configurada en el nivel de jerarquía
[ ] se encuentra en modo punto edit interfaces st0 unit x a punto. A partir de Junos OS Release 17.4
R1, la dirección IPv6 se soporta en AutoVPN.
• Modo punto a multipunto: en este modo, la opción se configura en el nivel jerárquico [ ] en las
interfaces st0 y hub AutoVPN en el concentrador y los radios deben estar numeradas, y la dirección
IP configurada en un spoke debe existir en la subred de interfaz st0 del multipointedit interfaces st0
unit x hub.
Tabla 76 en la página 1037compara los modos de interfaz de túnel seguro AutoVPN punto a punto y de
punto a multipunto.
Tabla 76: Comparación entre los modos de túnel seguro AutoVPN punto a punto y punto a multipunto
Permite que los dispositivos radiales sean serie Este modo solo se admite con dispositivos serie
SRX o de otros fabricantes. SRX.
1038
Authentication
Configuración y administración
AutoVPN se configura y administra en dispositivos serie SRX con la CLI. Se pueden configurar varios
concentradores AutoVPN en un solo dispositivo serie SRX. El número máximo de radios compatibles con
un concentrador configurado es específico del modelo del dispositivo de serie SRX.
• No se admite la multidifusión.
• El tipo de usuario del ID del ICR de grupo no es compatible con una dirección IP como ID. de ICR.
• Cuando se utiliza el tipo de usuario del ICR de grupo, el identificador de ICR no debe solaparse con
otras puertas de enlace de ICR configuradas en la misma interfaz externa.
Los concentradores AutoVPN se pueden configurar con varios selectores de tráfico para proteger el
tráfico a los radios. Esta característica ofrece las siguientes ventajas:
• Se puede admitir un número mayor de túneles que con AutoVPN con protocolos de enrutamiento
dinámico.
A partir de Junos OS versión 17.4 R1, AutoVPN Networks que utilizan interfaces de túnel seguro en
modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para los interlocutores
ICR.
AutoVPN con los selectores de tráfico se pueden configurar con la interfaz de túnel seguro (st0) en
modo punto a punto tanto para IKEv1 como para IKEv2.
Los protocolos de enrutamiento dinámico no se admiten en las interfaces st0 cuando se configuran los
selectores de tráfico.
Tenga en cuenta las siguientes consideraciones a la hora de configurar AutoVPN con los selectores de
tráfico:
• Los selectores de tráfico con interfaces st0 en el modo punto a punto no admiten protocolos de
enrutamiento dinámico.
• Los radios pueden ser dispositivos no serie SRX; sin embargo, tenga en cuenta las siguientes
diferencias:
• En IKEv2, un radio no serie SRX puede proponer varios selectores de tráfico en una sola
negociación de SA. Esto no se admite en dispositivos serie SRX y la negociación se rechaza.
• Un radio no serie SRX puede identificar puertos específicos o protocolos para el uso del selector
de tráfico. Los selectores de tráfico de serie SRX dispositivos no admiten puertos ni protocolos,
por lo que la negociación es rechazada.
SEE ALSO
in this section
En las implementaciones AutoVPN, los dispositivos radiales deben tener carga de certificados de PKI
válidos X. 509. Puede utilizar el show security pki local-certificate detail comando para mostrar
información acerca de los certificados cargados en un dispositivo.
En este tema se trata la configuración del concentrador que permite que los radios se autentiquen y se
conecten al concentrador:
La función de identificación de ICR de grupo permite que varios dispositivos radiales compartan una
configuración ICR del concentrador. La identificación del titular del certificado, en el asunto o en los
campos de asunto alternativos del certificado X.509 de cada radio, debe contener una parte que sea
común a todos los radios; la parte común de la identificación del certificado se especifica para la ICR
configuración en el concentrador.
Por ejemplo, el ICR ID example.net se puede configurar en el concentrador para identificar los radios
con los nombres device1.example.netde device2.example.nethost, device3.example.nety. El certificado
de cada radio debe contener una identidad de nombre de host en el campo example.net de asunto
alternativo con respecto a la parte derecha del campo; por ejemplo, device1.example.net. En este
ejemplo, todos los radios utilizan esta identidad de nombre de host en su carga de ICR ID. Durante ICR
negociación, el identificador de ICR de un radio se utiliza para hacer coincidir la parte común de la
identidad del ICR del mismo nivel configurada en el concentrador. Un certificado válido autentica los
radios.
La parte común de la identificación del certificado puede ser una de las siguientes:
• Por ejemplo example.net, un nombre de host parcial en la parte más a la derecha del campo de
asunto alternativo del certificado.
• Por ejemplo @example.net, una dirección de correo electrónico parcial en la parte más a la derecha
del campo de asunto alternativo del certificado.
1041
• Una cadena contenedora, un conjunto de caracteres comodín, o ambos, para que coincidan con los
campos de asunto del certificado. Los campos de asunto contienen detalles del titular del certificado
digital en formato de nombre completo (DN) de notación de sintaxis abstracta uno (ASN. 1). Los
campos pueden incluir organización, unidad organizativa, país, localidad o nombre común.
Para configurar un ID ICR de grupo para que coincida con los campos de asunto de los certificados,
puede especificar los siguientes tipos de coincidencias de identidad:
• Contenedor: el concentrador autentica el ID de ICR spoke si los campos de asunto del certificado
de spoke coinciden exactamente con los valores configurados en el concentrador. Se pueden
especificar varias entradas para cada campo de asunto (por ejemplo ou=eng,ou=sw,). El orden de
los valores en los campos debe coincidir.
• Comodín: el concentrador autentica el ID de ICR de radio si los campos de asunto del certificado
del spoke coinciden con los valores configurados en el concentrador. La coincidencia de
caracteres comodín solo admite un valor por campo (por ou=eng ejemplo ou=sw , o
ou=eng,ou=swpero no). El orden de los campos es inconsecuente.
En el siguiente ejemplo se configura un identificador ICR de grupo con el nombre example.net de host
parcial en el campo de asunto alternativo del certificado.
[edit]
security {
ike {
policy common-cert-policy {
proposals common-ike-proposal;
certificate {
local-certificate hub-local-certificate;
}
}
gateway common-gateway-to-all-spoke-peer {
ike-policy common-cert-policy;
dynamic {
hostname example.net;
ike-user-type group-ike-id;
}
external-interface fe-0/0/2;
}
}
}
En este ejemplo, example.net es la parte común de la identificación del nombre de host utilizada para
todos los radios. Todos los certificados X. 509 en los radios deben contener una identidad de nombre de
1042
host en el campo example.net de asunto alternativo con en la parte derecha. Todos los radios deben
usar la identidad de nombre de host en su ICR carga de ID.
En el siguiente ejemplo se configura un grupo ICR identificador con caracteres comodín para que
coincida con sales los valores de los campos example unidad organizativa y asunto de la organización del
certificado.
[edit]
security {
ike {
policy common-cert-policy {
proposals common-ike-proposal;
certificate {
local-certificate hub-local-certificate;
}
}
gateway common-gateway-to-all-spoke-peer {
ike-policy common-cert-policy;
dynamic {
distinguished-name {
wildcard ou=sales,o=example;
}
ike-user-type group-ike-id;
}
external-interface fe-0/0/2;
}
}
}
En este ejemplo, los campos ou=sales,o=example son la parte común del campo de asunto en los
certificados que se esperaban de los radios. Durante ICR negociación, si una radio presenta un
certificado con los campos cn=alice,ou=sales,o=example de asunto en su certificado, la autenticación se
realiza correctamente y se establece el túnel. Si un radio presenta un certificado con los campos
cn=thomas,ou=engineer,o=example de asunto en su certificado, el concentrador rechazará el certificado
según debería ser salesla unidad organizativa.
posible que el concentrador continúe estableciendo un túnel desde los radios revocados. Para obtener
más información, consulte Descripción del Protocolo de estado de certificados en línea y listas de
revocación de certificados , y descripción de los perfiles de autoridad de certificados.
SEE ALSO
Los pasos siguientes describen las tareas básicas para configurar AutoVPN en los dispositivos radiales. El
concentrador AutoVPN se configura una vez para todos los radios actuales y nuevos.
3. Configure una directiva de ICR para que coincida con la Directiva de ICR configurada en el
concentrador.
4. Configure una puerta de enlace de ICR con un identificador que coincida con el ID. ICR del grupo
configurado en el concentrador.
5. Configure una directiva IPsec para que coincida con la directiva IPsec configurada en el concentrador.
SEE ALSO
in this section
Aplicables | 1044
Automática | 1048
Comproba | 1076
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único
punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para
sitios remotos. En este ejemplo se configura iBGP para reenviar paquetes a través de los túneles VPN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a
través de los túneles VPN. Para obtener más información acerca de los requisitos específicos para un
protocolo de enrutamiento dinámico, consulte la Introducción a los protocolos de enrutamiento.
1045
Descripción general
in this section
Topología | 1048
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo
de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad
organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SLT" en el campo DE UNIDAD.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse
entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de
túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla
77 en la página 1045 muestra las opciones utilizadas en este ejemplo.
, Valor
ICR propuesta:
Directiva de ICR:
1046
, Valor
Medio Principalmente
Propuesta de IPsec:
Protocolo SENSORIAL
Directiva IPsec:
Tabla 78 en la página 1046muestra las opciones configuradas en el concentrador y en todos los radios.
Tabla 78: Configuración de AutoVPN para concentrador y todos los radios (Continued)
Radios 2: ge-0/0/1.0
VIRTUALES
Tabla 79 en la página 1047muestra las opciones de configuración que son diferentes en cada radio.
, Radios 1 Radios 2
La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.
1048
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
Topología
Figura 63 en la página 1048en este ejemplo se muestra el serie SRX dispositivos que se configurarán
para AutoVPN.
Automática
in this section
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email hub@example.net ip-address 1.1.1.1 subject
DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Status: Disabled
Next trigger time: Timer not started
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject
DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
1053
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject
DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password
<password>
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
Configurando el concentrador
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.1/30
user@host# set ge-0/0/3 unit 0 family inet address 50.50.50.1/24
user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 10.10.10.1/24
[edit policy-options]
user@host# set policy-statement lan_nw from interface ge-0/0/3.0
user@host# set policy-statement lan_nw then accept
user@host# set policy-statement bgp_nh_self term 1 from protocol bgp
user@host# set policy-statement bgp_nh_self term 1 then next-hop self
user@host# set policy-statement bgp_nh_self term 1 then accept
[edit protocols bgp]
user@host# set group ibgp type internal
user@host# set group ibgp local-address 10.10.10.1
user@host# set group ibgp export lan_nw
user@host# set group ibgp cluster 1.2.3.4
user@host# set group ibgp peer-as 10
user@host# set group ibgp allow 10.10.10.0/24
user@host# set group ibgp export bgp_nh_self
[edit routing-options]
user@host# set static route 2.2.2.0/30 next-hop 1.1.1.2
user@host# set static route 3.3.3.0/30 next-hop 1.1.1.2
user@host# set autonomous-system 10
1057
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
1059
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement bgp_nh_self {
term 1 {
from protocol bgp;
then {
next-hop self;
accept;
}
}
}
policy-statement lan_nw {
from interface ge-0/0/3.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp {
type internal;
local-address 10.10.10.1;
export lan_nw;
cluster 1.2.3.4;
peer-as 10;
allow 10.10.10.0/24;
export bgp_nh_self;
}
}
[edit]
user@host# show routing-options
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.1.2;
}
1060
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway hub-to-spoke-gw {
ike-policy ike-policy1;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn {
bind-interface st0.0;
ike {
1061
gateway hub-to-spoke-gw;
ipsec-policy vpn-policy1;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
1062
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Configuración de radios 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set fe-0/0/1 unit 0 family inet address 2.2.2.1/30
user@host# set fe-0/0/4 unit 0 family inet address 60.60.60.1/24
user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 10.10.10.2/24
1064
[edit policy-options]
user@host# set policy-statement lan_nw from interface fe-0/0/4.0
user@host# set policy-statement lan_nw then accept
[edit protocols bgp]
user@host# set group ibgp type internal
user@host# set group ibgp local-address 10.10.10.2
user@host# set group ibgp export lan_nw
user@host# set group ibgp neighbor 10.10.10.1
[edit routing-options]
user@host# set static route 1.1.1.0/30 next-hop 2.2.2.2
user@host# set autonomous-system 10
5. Configurar zonas.
Resultados
security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración
deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.2/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface fe-0/0/4.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp {
type internal;
local-address 10.10.10.2;
export lan_nw;
neighbor 10.10.10.1;
}
1067
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway spoke-to-hub-gw {
ike-policy ike-policy1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub {
1068
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw;
ipsec-policy vpn-policy1;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
1069
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Configuración de radios 2
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 3.3.3.1/30
user@host# set fe-0/0/4 unit 0 family inet address 70.70.70.1/24
user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 10.10.10.3/24
1071
[edit policy-options]
user@host# set policy-statement lan_nw from interface fe-0/0/4.0
user@host# set policy-statement lan_nw then accept
[edit protocols bgp]
user@host# set group ibgp type internal
user@host# set group ibgp local-address 10.10.10.3
user@host# set group ibgp export lan_nw
user@host# set group ibgp neighbor 10.10.10.1
[edit routing-options]
user@host# set static route 1.1.1.0/30 next-hop 3.3.3.2
user@host# set autonomous-system 10
5. Configurar zonas.
Resultados
security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración
deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 70.70.70.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.3/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface fe-0/0/4.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp {
type internal;
local-address 10.10.10.3;
export lan_nw;
neighbor 10.10.10.1;
}
1074
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 3.3.3.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway spoke-to-hub-gw {
ike-policy ike-policy1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub {
1075
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw;
ipsec-policy vpn-policy1;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
1076
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Comproba
in this section
Purpose
Intervención
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La
fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.
Purpose
Intervención
Efectos
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si
no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los
parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.
1078
Purpose
Intervención
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.
Comprobando BGP
Purpose
Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios.
Intervención
Purpose
Intervención
SEE ALSO
in this section
Aplicables | 1080
Automática | 1085
Comproba | 1115
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único
punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para
sitios remotos. En este ejemplo, se configura el entorno de AutoVPN para IPv6 utilizando el iBGP para
reenviar paquetes a través de los túneles VPN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a
través de los túneles VPN. Para obtener más información acerca de los requisitos específicos para un
protocolo de enrutamiento dinámico, consulte la Introducción a los protocolos de enrutamiento.
Descripción general
in this section
Topología | 1084
1081
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo
de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad
organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SLT" en el campo DE UNIDAD.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse
entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de
túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla
80 en la página 1081 muestra las opciones utilizadas en este ejemplo.
, Valor
ICR propuesta:
Directiva de ICR:
Medio Principalmente
Propuesta de IPsec:
Protocolo SENSORIAL
, Valor
Directiva IPsec:
Tabla 81 en la página 1082muestra las opciones configuradas en el concentrador y en todos los radios.
Radios 2: ge-0/0/0.0
VIRTUALES
1083
Tabla 81: Configuración de AutoVPN para concentrador y todos los radios (Continued)
Tabla 82 en la página 1083muestra las opciones de configuración que son diferentes en cada radio.
, Radios 1 Radios 2
La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
1084
Topología
Figura 64 en la página 1084en este ejemplo se muestra el serie SRX dispositivos que se configurarán
para AutoVPN.
Automática
in this section
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email hub@example.net ip-address 1.1.1.1 subject
DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Fingerprint:
e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1)
a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject
DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
1088
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
1089
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject
DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password
<password>
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
Configurando el concentrador
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
1091
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64
user@host# set st0 unit 1 multipoint
user@host# set st0 unit 1 family inet6 address 2001:db8:7000::1/64
1093
[edit policy-options]
user@host# set policy-statement ibgp from interface ge-0/0/1.0
user@host# set policy-statement ibgp then accept
user@host# set policy-statement load_balance then load-balance per-packet
[edit protocols bgp]
user@host# set traceoptions file bgp
user@host# set traceoptions flag all
user@host# set group ibgp type internal
user@host# set group ibgp local-address 2001:db8:9000::1
user@host# set group ibgp export ibgp
user@host# set group ibgp cluster 1.2.3.4
user@host# set group ibgp peer-as 100
user@host# set group ibgp multipath
user@host# set group ibgp allow 2001:db8:9000::/64
[edit routing-options]
user@host# set rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2
user@host# set rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2
user@host# set autonomous-system 100
user@host# set forwarding-table export load_balance
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1000::2/64;
}
}
}
st0 {
unit 1{
multipoint;
family inet6 {
address 2001:db8:7000::1/64;
}
}
1096
}
[edit]
user@host# show policy-options
policy-statement ibgp {
from interface ge-0/0/1.0;
then accept;
}
policy-statement load_balance {
then {
load-balance per-packet;
}
}
[edit]
user@host# show protocols
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
local-address 2001:db8:9000::1;
export ibgp;
cluster 1.2.3.4;
peer-as 100;
multipath;
allow 2001:db8:9000::/64;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route route 2001:db8:3000::/64 next-hop 2001:db8:2000::2;
route 2001:db8:5000::/64 next-hop 2001:db8:2000::2;
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
1097
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate HUB;
}
}
gateway IKE_GWA_1 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface ge-0/0/0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
1098
}
vpn IPSEC_VPNA_1 {
bind-interface st0.1;
ike {
gateway IKE_GWA_1;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
1099
Configuración de radios 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64
user@host# set st0 unit 1 family inet6 address 2001:db8:7000::2/64
[edit policy-options]
user@host# set policy-statement ibgp from interface ge-0/0/1.0
user@host# set policy-statement ibgp then accept
[edit protocols bgp]
user@host# set traceoptions file bgp
user@host# set traceoptions flag all
user@host# set group ibgp type internal
user@host# set group ibgp local-address 2001:db8:9000::2
user@host# set group ibgp export ibgp
user@host# set group ibgp peer-as 100
user@host# set group ibgp neighbor 2001:db8:9000::1
[edit routing-options]
user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1
user@host# set autonomous-system 100
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:3000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
1104
address 2001:db8:4000::1/64;
}
}
}
st0 {
unit 1{
family inet6 {
address 2001:db8:7000::2/64;
}
}
}
[edit]
user@host# show policy-options
policy-statement ibgp {
from interface ge-0/0/1.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
local-address 2001:db8:9000::2;
export ibgp;
peer-as 100;
neighbor 2001:db8:9000::1;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route route 2001:db8:2000::/64 next-hop 2001:db8:3000::1;
}
}
[edit]
user@host# show security ike
traceoptions {
1105
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE1;
}
}
gateway IKE_GWA_SPOKE1 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface ge-0/0/0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
1106
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPNA_SPOKE_1 {
bind-interface st0.1;
ike {
gateway IKE_GWA_SPOKE_1;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
1107
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Configuración de radios 2
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64
user@host# set st0 unit 1 family inet6 address 2001:db8:7000::3/64
[edit policy-options]
user@host# set policy-statement ibgp from interface ge-0/0/1.0
user@host# set policy-statement ibgp then accept
[edit protocols bgp]
user@host# set traceoptions file bgp
user@host# set traceoptions flag all
user@host# set group ibgp type internal
user@host# set group ibgp local-address 2001:db8:9000::3
user@host# set group ibgp export ibgp
user@host# set group ibgp peer-as 100
user@host# set group ibgp neighbor 2001:db8:9000::1
[edit routing-options]
user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1
user@host# set autonomous-system 100
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:5000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
1112
address 2001:db8:6000::1/64;
}
}
}
st0 {
unit 1{
family inet6 {
address 2001:db8:7000::3/64;
}
}
}
[edit]
user@host# show policy-options
policy-statement ibgp {
from interface ge-0/0/1.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
local-address 2001:db8:9000::3;
export ibgp;
peer-as 100;
neighbor 2001:db8:9000::1;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route route 2001:db8:2000::/64 next-hop 2001:db8:5000::1;
}
}
[edit]
user@host# show security ike
traceoptions {
1113
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE2;
}
}
gateway IKE_GWA_SPOKE2 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface ge-0/0/0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
1114
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPNA_SPOKE_2 {
bind-interface st0.1;
ike {
gateway IKE_GWA_SPOKE_2;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
1115
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Comproba
in this section
Purpose
Intervención
Efectos
El show security ike sa comando enumera todas las SA activas de ICR Phase 1. Si no se enumera
ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de
directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los
parámetros de propuesta deben coincidir en el concentrador y los radios.
Purpose
Intervención
Efectos
El show security ipsec sa comando enumera todas las SA activas de ICR Phase 2. Si no se enumera
ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de
directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de
propuesta de la fase 2 deben coincidir en el concentrador y los radios.
Purpose
Intervención
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.
1118
Comprobando BGP
Purpose
Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios.
Intervención
SEE ALSO
in this section
Aplicables | 1119
Automática | 1124
Comproba | 1149
1119
En este ejemplo se muestra cómo configurar dos túneles VPN de IPsec entre un concentrador AutoVPN
y radios. En este ejemplo se configura iBGP con multipath de costo equivalente (ECMP) para reenviar
paquetes a través de los túneles VPN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a
través de los túneles VPN.
Descripción general
in this section
Topología | 1122
En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles
VPN de IPsec.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo
de inscripción de certificados simple (SCEP). Los certificados se inscriben en el concentrador y en los
radios de cada túnel VPN de IPsec. Uno de los certificados para el spoke contiene el valor de unidad
organizacional (UO) "SLT" en el nombre distinguido (DN); el concentrador está configurado con un ID de
ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD. El otro certificado para el
spoke contiene el valor DEO "SBU" en la DN; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SBU" en el campo DE UNIDAD DE OPERACIONES.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que le permite tener acceso a los
recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador
AutoVPN y los radios deben tener los mismos valores. Tabla 83 en la página 1120 muestra las opciones
utilizadas en este ejemplo.
1120
Tabla 83: Opciones de las fases 1 y 2 para AutoVPN hub and spoke iBGP ECMP configuraciones
, Valor
ICR propuesta:
Directiva de ICR:
Medio Principalmente
Propuesta de IPsec:
Protocolo SENSORIAL
Directiva IPsec:
, Navegación Radios 1
VIRTUALES
La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
1122
Topología
Figura 65 en la página 1123en este ejemplo se muestra el serie SRX dispositivos que se configurarán
para AutoVPN.
1123
Automática
in this section
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email hub@example.net ip-address 1.1.1.1 subject
DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2
domain-name example.net email hub_backup@example.net ip-address 1.1.2.1 subject
DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bangalore,ST=KA,C=IN challenge-password
<password>
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Distribution CRL:
http://ca-server1/CertEnroll/CASERVER1.crl
file://\\ca-server1\CertEnroll\CASERVER1.crl
Fingerprint:
e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1)
a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
Fingerprint:
98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1)
c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject
DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2
domain-name example.net email spoke1_backup@example.net ip-address 3.3.3.1 subject
1128
DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
La unidad organizativa (OU) mostrada en el campo asunto SLT es para local1 SBU y para Local2. Las
configuraciones de ICR en el OU=SLT concentrador OU=SBU incluyen e identifican los radios.
1130
Configurando el concentrador
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.1/30
user@host# set ge-0/0/2 unit 0 family inet address 1.1.2.1/30
user@host# set ge-0/0/3 unit 0 family inet address 50.50.50.1/24
user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 10.10.10.1/24
user@host# set st0 unit 1 multipoint
user@host# set st0 unit 1 family inet address 20.20.20.1/24
[edit policy-options]
user@host# set policy-statement lan_nw from interface ge-0/0/3.0
user@host# set policy-statement lan_nw then accept
user@host# set policy-statement load_balance then load-balance per-packet
[edit protocols bgp]
user@host# set group ibgp-1 type internal
user@host# set group ibgp-1 local-address 10.10.10.1
user@host# set group ibgp-1 export lan_nw
user@host# set group ibgp-1 cluster 1.2.3.4
user@host# set group ibgp-1 multipath
user@host# set group ibgp-1 allow 10.10.10.0/24
user@host# set group ibgp-2 type internal
user@host# set group ibgp-2 local-address 20.20.20.1
user@host# set group ibgp-2 export lan_nw
user@host# set group ibgp-2 cluster 1.2.3.5
user@host# set group ibgp-2 multipath
user@host# set group ibgp-2 allow 20.20.20.0/24
[edit routing-options]
user@host# set static route 2.2.2.0/30 next-hop 1.1.1.2
user@host# set static route 3.3.3.0/30 next-hop 1.1.2.2
1133
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 1.1.2.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
unit 1 {
multipoint;
family inet {
address 20.20.20.1/24;
}
1136
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface ge-0/0/3.0;
then accept;
}
policy-statement load_balance {
then {
load-balance per-packet;
}
}
[edit]
user@host# show protocols
bgp {
group ibgp-1 {
type internal;
local-address 10.10.10.1;
export lan_nw;
cluster 1.2.3.4;
multipath;
allow 10.10.10.0/24;
}
group ibgp-2 {
type internal;
local-address 20.20.20.1;
export lan_nw;
cluster 1.2.3.5;
multipath;
allow 20.20.20.0/24;
}
}
[edit]
user@host# show routing-options
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.2.2;
}
autonomous-system 10;
forwarding-table {
export load_balance;
}
1137
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
policy ike-policy-2 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local2;
}
}
gateway hub-to-spoke-gw-1 {
ike-policy ike-policy-1;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/1.0;
}
gateway hub-to-spoke-gw-2 {
ike-policy ike-policy-2;
dynamic {
distinguished-name {
wildcard OU=SBU;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/2.0;
1138
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn-1 {
bind-interface st0.0;
ike {
gateway hub-to-spoke-gw-1;
ipsec-policy vpn-policy;
}
}
vpn hub-to-spoke-vpn-2 {
bind-interface st0.1;
ike {
gateway hub-to-spoke-gw-2;
ipsec-policy vpn-policy;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
ge-0/0/2.0;
1139
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Configuración de radios 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
1140
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set fe-0/0/1 unit 0 family inet address 2.2.2.1/30
user@host# set fe-0/0/2 unit 0 family inet address 3.3.3.1/30
1142
[edit policy-options]
user@host# set policy-statement lan_nw from interface fe-0/0/4.0
user@host# set policy-statement lan_nw then accept
[edit protocols bgp]
user@host# set group ibgp-1 type internal
user@host# set group ibgp-1 local-address 10.10.10.2
user@host# set group ibgp-1 export lan_nw
user@host# set group ibgp-1 neighbor 10.10.10.1
user@host# set group ibgp-2 type internal
user@host# set group ibgp-2 local-address 20.20.20.2
user@host# set group ibgp-2 export lan_nw
user@host# set group ibgp-2 neighbor 20.20.20.1
[edit routing-options]
user@host# set static route 1.1.1.0/30 next-hop 2.2.2.2
user@host# set static route 1.1.2.0/30 next-hop 3.3.3.2
user@host# set autonomous-system 10
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 3.3.3.1/30;
1145
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.10.2/24;
}
}
unit 1 {
family inet {
address 20.20.20.2/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface fe-0/0/4.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp-1 {
type internal;
local-address 10.10.10.2;
export lan_nw;
neighbor 10.10.10.1;
}
group ibgp-2 {
type internal;
local-address 20.20.20.2;
export lan_nw;
neighbor 20.20.20.1;
}
1146
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
route 1.1.2.0/30 next-hop 3.3.3.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
policy ike-policy-2 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local2;
}
}
gateway spoke-to-hub-gw-1 {
ike-policy ike-policy-1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
gateway spoke-to-hub-gw-2 {
ike-policy ike-policy-2;
address 1.1.2.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/2.0;
1147
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub-1 {
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw-1;
ipsec-policy vpn-policy;
}
establish-tunnels immediately;
}
vpn spoke-to-hub-2 {
bind-interface st0.1;
ike {
gateway spoke-to-hub-gw-2;
ipsec-policy vpn-policy;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
1148
st0.0;
fe-0/0/2.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Comproba
in this section
Purpose
Intervención
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
1150
Purpose
Intervención
Efectos
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si
no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La
fase 2 los parámetros de propuesta deben coincidir en el concentrador y los radios.
Purpose
Intervención
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.
Comprobando BGP
Purpose
Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios.
Intervención
Purpose
Intervención
Purpose
Compruebe que las rutas a los radios se han instalado en la tabla de reenvío.
Intervención
SEE ALSO
in this section
Aplicables | 1154
Automática | 1160
Comproba | 1185
En este ejemplo se muestra cómo configurar túneles VPN de IPsec de reserva y activos entre un
concentrador AutoVPN y radios. En este ejemplo se configura iBGP para reenviar el tráfico a través de
los túneles VPN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a
través de los túneles VPN.
Descripción general
in this section
Topología | 1158
1155
En este ejemplo se muestra la configuración de un concentrador AutoVPN y un radio con dos túneles
VPN de IPsec.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo
de inscripción de certificados simple (SCEP). Los certificados se inscriben en el concentrador y en los
radios de cada túnel VPN de IPsec. Uno de los certificados para el spoke contiene el valor de unidad
organizacional (UO) "SLT" en el nombre distinguido (DN); el concentrador está configurado con un ID de
ICR grupo para que coincida con el valor "SLT" en el campo DE UNIDAD. El otro certificado para el
spoke contiene el valor DEO "SBU" en la DN; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SBU" en el campo DE UNIDAD DE OPERACIONES.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que le permite tener acceso a los
recursos del concentrador. La fase 1 y la fase 2 ICR opciones de túnel configuradas en el concentrador
AutoVPN y los radios deben tener los mismos valores. Tabla 85 en la página 1155 muestra las opciones
utilizadas en este ejemplo.
Tabla 85: Opciones de las fases 1 y 2 para AutoVPN concentradores y radios iBGP configuraciones de
túnel de reserva activo
, Valor
ICR propuesta:
Directiva de ICR:
Medio Principalmente
Propuesta de IPsec:
Protocolo SENSORIAL
1156
Tabla 85: Opciones de las fases 1 y 2 para AutoVPN concentradores y radios iBGP configuraciones de
túnel de reserva activo (Continued)
, Valor
Directiva IPsec:
Tabla 86: AutoVPN IBGP configuración de túnel de reserva activa para concentradores y radios 1
, Navegación Radios 1
Tabla 86: AutoVPN IBGP configuración de túnel de reserva activa para concentradores y radios 1
(Continued)
, Navegación Radios 1
VIRTUALES
La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
1158
Topología
Figura 66 en la página 1159en este ejemplo se muestra el serie SRX dispositivos que se configurarán
para AutoVPN.
1159
Figura 66: Implementación de AutoVPN con iBGP y túneles de copia de seguridad activos
En este ejemplo, se establecen dos túneles VPN de IPsec entre el concentrador y los radios 1. La
información de enrutamiento se intercambiará a través de sesiones iBGP en cada túnel. La coincidencia
del prefijo más larga para la ruta a 60.60.60.0/24 es a través de la interfaz St 0.0 del concentrador. Por lo
1160
tanto, el túnel principal para la ruta se realiza a través de las interfaces St 0.0 del concentrador y de los
radios 1. La ruta predeterminada se realiza a través del túnel de copia de seguridad en las interfaces St
0.1 del concentrador y los radios 1.
El control de VPN comprueba el estado de los túneles. Si hay un problema con el túnel principal (por
ejemplo, la puerta de enlace de túnel remoto no es accesible), el estado del túnel cambia a desactivado y
los datos destinados al 60.60.60.0/24 se redirigen a través del túnel de copia de seguridad.
Automática
in this section
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email hub@example.net ip-address 1.1.1.1 subject
DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2
domain-name example.net email hub_backup@example.net ip-address 1.1.2.1 subject
DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bangalore,ST=KA,C=IN challenge-password
<password>
90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8
ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82
6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Distribution CRL:
http://ca-server1/CertEnroll/CASERVER1.crl
file://\\ca-server1\CertEnroll\CASERVER1.crl
Fingerprint:
e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1)
a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
http://ca-server1/CertEnroll/CASERVER1.crl
file://\\ca-server1\CertEnroll\CASERVER1.crl
Fingerprint:
98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1)
c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject
DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2
1164
La unidad organizativa (OU) mostrada en el campo asunto SLT es para local1 SBU y para Local2. Las
configuraciones de ICR en el OU=SLT concentrador OU=SBU incluyen e identifican los radios.
1166
Configurando el concentrador
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.1/30
user@host# set ge-0/0/2 unit 0 family inet address 1.1.2.1/30
user@host# set ge-0/0/3 unit 0 family inet address 50.50.50.1/24
user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 10.10.10.1/24
user@host# set st0 unit 1 multipoint
user@host# set st0 unit 1 family inet address 20.20.20.1/24
[edit policy-options]
user@host# set policy-statement lan_nw from interface ge-0/0/3.0
user@host# set policy-statement lan_nw then accept
[edit protocols bgp]
user@host# set group ibgp-1 type internal
user@host# set group ibgp-1 local-address 10.10.10.1
user@host# set group ibgp-1 export lan_nw
user@host# set group ibgp-1 cluster 1.2.3.4
user@host# set group ibgp-1 allow 10.10.10.0/24
user@host# set group ibgp-2 type internal
user@host# set group ibgp-2 local-address 20.20.20.1
user@host# set group ibgp-2 export lan_nw
user@host# set group ibgp-2 cluster 1.2.3.5
user@host# set group ibgp-2 allow 20.20.20.0/24
[edit routing-options]
user@host# set static route 2.2.2.0/30 next-hop 1.1.1.2
user@host# set static route 3.3.3.0/30 next-hop 1.1.2.2
user@host# set autonomous-system 10
1169
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 1.1.2.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
unit 1 {
multipoint;
family inet {
address 20.20.20.1/24;
}
1172
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface ge-0/0/3.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp-1 {
type internal;
local-address 10.10.10.1;
export lan_nw;
cluster 1.2.3.4;
allow 10.10.10.0/24;
}
group ibgp-2 {
type internal;
local-address 20.20.20.1;
export lan_nw;
cluster 1.2.3.5;
allow 20.20.20.0/24;
}
}
[edit]
user@host# show routing-options
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.2.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
1173
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
policy ike-policy-2 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local2;
}
}
gateway hub-to-spoke-gw-1 {
ike-policy ike-policy-1;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/1.0;
}
gateway hub-to-spoke-gw-2 {
ike-policy ike-policy-2;
dynamic {
distinguished-name {
wildcard OU=SBU;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/2.0;
}
[edit]
user@host# show security ipsec
vpn-monitor-options {
interval 5;
threshold 2;
}
proposal ipsec-proposal {
protocol esp;
1174
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn-1 {
bind-interface st0.0;
vpn-monitor {
source-interface ge-0/0/1.0;
}
ike {
gateway hub-to-spoke-gw-1;
ipsec-policy vpn-policy;
}
}
vpn hub-to-spoke-vpn-2 {
bind-interface st0.1;
vpn-monitor {
source-interface ge-0/0/2.0;
}
ike {
gateway hub-to-spoke-gw-2;
ipsec-policy vpn-policy;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
1175
ge-0/0/2.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Configuración de radios 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
1176
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1178
1. Configurar interfaces.
[edit interfaces]
user@host# set fe-0/0/1 unit 0 family inet address 2.2.2.1/30
user@host# set fe-0/0/2 unit 0 family inet address 3.3.3.1/30
user@host# set fe-0/0/4 unit 0 family inet address 60.60.60.1/24
user@host# set st0 unit 0 family inet address 10.10.10.2/24
user@host# set st0 unit 1 family inet address 20.20.20.2/24
[edit policy-options]
user@host# set policy-statement default_route from protocol static
user@host# set policy-statement default_route from route-filter 0.0.0.0/0 exact
user@host# set policy-statement default_route then accept
user@host# set policy-statement lan_nw from interface fe-0/0/4.0
user@host# set policy-statement lan_nw then accept
[edit protocols bgp]
user@host# set group ibgp-1 type internal
user@host# set group ibgp-1 local-address 10.10.10.2
user@host# set group ibgp-1 export lan_nw
user@host# set group ibgp-1 neighbor 10.10.10.1
user@host# set group ibgp-2 type internal
user@host# set group ibgp-2 local-address 20.20.20.2
user@host# set group ibgp-2 export default_route
user@host# set group ibgp-2 neighbor 20.20.20.1
[edit routing-options]
user@host# set static route 1.1.1.0/30 next-hop 2.2.2.2
user@host# set static route 1.1.2.0/30 next-hop 3.3.3.2
user@host# set static route 0.0.0.0/0 next-hop st0.1
user@host# set autonomous-system 10
5. Configurar zonas.
Resultados
security zonesshow security policies,,, show security pki y. Si el resultado no muestra la configuración
deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.10.2/24;
}
}
unit 1 {
family inet {
address 20.20.20.2/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement default_route {
from {
1182
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
policy-statement lan_nw {
from interface fe-0/0/4.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp-1 {
type internal;
local-address 10.10.10.2;
export lan_nw;
neighbor 10.10.10.1;
}
group ibgp-2 {
type internal;
local-address 20.20.20.2;
export default_route;
neighbor 20.20.20.1;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
route 1.1.2.0/30 next-hop 3.3.3.2;
route 0.0.0.0/0 next-hop st0.1;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
1183
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
policy ike-policy-2 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local2;
}
}
gateway spoke-to-hub-gw-1 {
ike-policy ike-policy-1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
gateway spoke-to-hub-gw-2 {
ike-policy ike-policy-2;
address 1.1.2.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/2.0;
}
[edit]
user@host# show security ipsec
vpn-monitor-options {
interval 5;
threshold 2;
}
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
1184
vpn spoke-to-hub-1 {
bind-interface st0.0;
vpn-monitor {
destination-ip 1.1.1.1;
}
ike {
gateway spoke-to-hub-gw-1;
ipsec-policy vpn-policy;
}
establish-tunnels immediately;
}
vpn spoke-to-hub-2 {
bind-interface st0.1;
vpn-monitor {
destination-ip 1.1.2.1;
}
ike {
gateway spoke-to-hub-gw-2;
ipsec-policy vpn-policy;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
fe-0/0/2.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
1185
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Comproba
in this section
Comprobación del estado de la fase 2 de IPsec (ambos túneles están en funcionamiento) | 1187
Verificación de los túneles IPsec de próximo salto (ambos túneles están en funcionamiento) | 1187
Comprobando ICR estado de la fase 1 (el túnel primario está inactivo) | 1189
1186
Comprobando el estado de la fase 2 de IPsec (el túnel primario está inactivo) | 1190
Comprobación de los túneles IPsec de próximo salto (el túnel primario está inactivo) | 1190
Comprobando rutas aprendidas (el túnel primario está fuera de la actividad) | 1192
Purpose
Compruebe que el estado ICR la fase 1 cuando ambos túneles VPN de IPSec están en funcionamiento.
Intervención
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La
fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.
1187
Purpose
Compruebe el estado de la fase 2 de IPsec cuando ambos túneles VPN de IPsec estén en
funcionamiento.
Intervención
Efectos
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si
no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La
fase 2 los parámetros de propuesta deben coincidir en el concentrador y los radios.
Verificación de los túneles IPsec de próximo salto (ambos túneles están en funcionamiento)
Purpose
Intervención
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.
Purpose
Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios cuando
ambos túneles VPN de IPsec están en el mismo puesto.
Intervención
Purpose
Compruebe que las rutas a los radios se han aprendido cuando ambos túneles están en la red. La ruta a
60.60.60.0/24 es a través de la interfaz St 0.0 y la ruta predeterminada se realiza a través de la interfaz
St 0.1.
1189
Intervención
Purpose
Compruebe que el estado de la fase 1 ICR cuando el túnel principal está inactivo.
Intervención
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La
fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.
Purpose
Intervención
Efectos
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si
no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La
fase 2 los parámetros de propuesta deben coincidir en el concentrador y los radios.
Comprobación de los túneles IPsec de próximo salto (el túnel primario está inactivo)
Purpose
Intervención
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre VPN de IPsec correcto, en este caso el túnel de VPN de
copia de seguridad.
Purpose
Compruebe que BGP hace referencia a las direcciones IP st0 de las interfaces de los radios cuando el
túnel primario está inactivo.
Intervención
Purpose
Compruebe que las rutas a los radios se han aprendido cuando el túnel principal está inactivo. Tanto la
ruta a 60.60.60.0/24 como la ruta predeterminada se realiza a través de la interfaz St 0.1.
Intervención
SEE ALSO
in this section
Aplicables | 1193
Automática | 1197
Comproba | 1223
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único
punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para
sitios remotos. En este ejemplo, se configura OSPF para reenviar paquetes a través de los túneles VPN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a
través de los túneles VPN.
Descripción general
in this section
Topología | 1197
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo
de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad
organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SLT" en el campo DE UNIDAD.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse
entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de
túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla
87 en la página 1194 muestra las opciones utilizadas en este ejemplo.
Tabla 87: Opciones de las fases 1 y 2 de AutoVPN las configuraciones básicas de OSPF Hub y spoke
, Valor
ICR propuesta:
Directiva de ICR:
Medio Principalmente
Propuesta de IPsec:
Protocolo SENSORIAL
Tabla 87: Opciones de las fases 1 y 2 de AutoVPN las configuraciones básicas de OSPF Hub y spoke
(Continued)
, Valor
Directiva IPsec:
Tabla 88 en la página 1195muestra las opciones configuradas en el concentrador y en todos los radios.
Tabla 88: Configuración de OSPF básica de AutoVPN para concentrador y todos los radios
Radios 2: ge-0/0/1.0
VIRTUALES
Tabla 88: Configuración de OSPF básica de AutoVPN para concentrador y todos los radios (Continued)
Tabla 89 en la página 1196muestra las opciones de configuración que son diferentes en cada radio.
Tabla 89: Comparación entre las configuraciones básicas del OSPF radios
, Radios 1 Radios 2
La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
1197
Topología
Figura 67 en la página 1197en este ejemplo se muestra el serie SRX dispositivos que se configurarán
para AutoVPN.
Automática
in this section
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email hub@example.net ip-address 1.1.1.1 subject
DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
1200
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject
DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject
DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password
<password>
file://\\ca-server1\CertEnroll\CASERVER1.crl
Fingerprint:
1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1)
00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
Configurando el concentrador
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.1/30
user@host# set ge-0/0/3 unit 0 family inet address 50.50.50.1/24
user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 10.10.10.1/24
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
1207
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
}
[edit]
user@host# show protocols
ospf {
area 0.0.0.0 {
interface st0.0 {
interface-type p2mp;
dynamic-neighbors;
}
interface ge-0/0/3.0;
}
}
[edit]
user@host# show routing-options
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.1.2;
}
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
1208
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway hub-to-spoke-gw {
ike-policy ike-policy1;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
traceoptions {
flag all;
}
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn {
bind-interface st0.0;
ike {
gateway hub-to-spoke-gw;
ipsec-policy vpn-policy1;
}
}
[edit]
user@host# show security zones
security-zone untrust {
1209
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
1210
Configuración de radios 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set fe-0/0/1 unit 0 family inet address 2.2.2.1/30
user@host# set fe-0/0/4 unit 0 family inet address 60.60.60.1/24
user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 10.10.10.2/24
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
1214
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.2/24;
}
}
}
[edit]
user@host# show protocols
ospf {
area 0.0.0.0 {
interface st0.0 {
interface-type p2mp;
neighbor 10.10.10.1;
}
interface fe-0/0/4.0;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
}
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway spoke-to-hub-gw {
ike-policy ike-policy1;
1215
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub {
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw;
ipsec-policy vpn-policy1;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
}
}
security-zone trust {
1216
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Configuración de radios 2
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
1217
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 3.3.3.1/30
user@host# set fe-0/0/4 unit 0 family inet address 70.70.70.1/24
user@host# set st0 unit 0 multipoint
user@host# set st0 unit 0 family inet address 10.10.10.3/24
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 70.70.70.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.3/24;
}
}
}
[edit]
user@host# show protocols
1221
ospf {
area 0.0.0.0 {
interface st0.0 {
interface-type p2mp;
neighbor 10.10.10.1;
}
interface fe-0/0/4.0;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.1/32 next-hop 3.3.3.2;
}
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway spoke-to-hub-gw {
ike-policy ike-policy1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
1222
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub {
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw;
ipsec-policy vpn-policy1;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
1223
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Comproba
in this section
Purpose
Intervención
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. Si no
se enumera ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. La
fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.
Purpose
Intervención
Efectos
El show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. Si
no se enumera ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los
parámetros de directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los
parámetros de propuesta de la fase 2 deben coincidir en el concentrador y los radios.
Purpose
Intervención
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.
Comprobando OSPF
Purpose
Compruebe que OSPF hace referencia a las direcciones IP st0 de las interfaces de los radios.
1226
Intervención
Purpose
Intervención
SEE ALSO
in this section
Aplicables | 1227
Automática | 1232
Comproba | 1261
En este ejemplo se muestra cómo configurar un concentrador AutoVPN para que actúe como un único
punto de terminación y, a continuación, cómo configurar dos radios para que actúen como túneles para
sitios remotos. En este ejemplo, se configura el entorno de AutoVPN para IPv6 utilizando el OSPFv3
para reenviar paquetes a través de los túneles VPN.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
Debe estar familiarizado con el protocolo de enrutamiento dinámico que se usa para reenviar paquetes a
través de los túneles VPN.
Descripción general
in this section
Topología | 1231
1228
Este ejemplo muestra la configuración de una AutoVPN con el protocolo de enrutamiento OSPFv3 en el
concentrador y las configuraciones posteriores de dos radios.
En este ejemplo, el primer paso es inscribir certificados digitales en cada dispositivo usando el protocolo
de inscripción de certificados simple (SCEP). Los certificados para los radios contienen el valor de unidad
organizacional (UO) "SLT" en el campo asunto; el concentrador está configurado con un ID de ICR grupo
para que coincida con el valor "SLT" en el campo DE UNIDAD.
Los radios establecen conexiones VPN de IPsec con el concentrador, lo que les permite comunicarse
entre sí, así como con tener acceso a los recursos del concentrador. La fase 1 y la fase 2 ICR opciones de
túnel configuradas en el concentrador AutoVPN y todos los radios deben tener los mismos valores. Tabla
90 en la página 1228 muestra las opciones utilizadas en este ejemplo.
Tabla 90: Opciones de fase 1 y fase 2 para AutoVPN Hub y Spoke OSPFv3 configuraciones básicas
, Valor
ICR propuesta:
Directiva de ICR:
Medio Principalmente
Propuesta de IPsec:
Protocolo SENSORIAL
Tabla 90: Opciones de fase 1 y fase 2 para AutoVPN Hub y Spoke OSPFv3 configuraciones básicas
(Continued)
, Valor
Directiva IPsec:
Tabla 91 en la página 1229muestra las opciones configuradas en el concentrador y en todos los radios.
Tabla 91: AutoVPN OSPFv3 configuración para concentrador y todos los radios
Radios 2: ge-0/0/0.0
VIRTUALES
1230
Tabla 91: AutoVPN OSPFv3 configuración para concentrador y todos los radios (Continued)
Tabla 92 en la página 1230muestra las opciones de configuración que son diferentes en cada radio.
, Radios 1 Radios 2
La información de enrutamiento de todos los dispositivos se intercambian a través de los túneles VPN.
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad.
1231
Topología
Figura 68 en la página 1231en este ejemplo se muestra el serie SRX dispositivos que se configurarán
para AutoVPN.
Automática
in this section
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email hub@example.net ip-address 1.1.1.1 subject
DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Fingerprint:
e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1)
a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject
DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password
<password>
1235
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
1236
[edit]
user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1
user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/
mscep/mscep.dll
user@host# set security pki ca-profile ca-profile1 revocation-check disable
user@host# commit
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1
domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject
DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password
<password>
La unidad organizativa (OU) mostrada en el campo asunto SLTes. La configuración del ICR en el
concentrador incluye ou=SLT identificar los radios.
Configurando el concentrador
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
1238
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64
user@host# set st0 unit 1 multipoint
user@host# set st0 unit 1 family inet6 address 2001:db8:7000::1/64
5. Configurar zonas.
Resultados
security policies,, show security pki y. Si el resultado no muestra la configuración deseada, repita las
instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1000::2/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:7000::1/64;
}
}
}
[edit]
user@host# show protocols
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
demand-circuit;
dynamic-neighbors;
}
interface ge-0/0/1.0;
}
}
1243
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:3000::/64 next-hop 2001:db8::2;
route 2001:db8:5000::/64 next-hop 2001:db8::2;
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate HUB;
}
}
gateway IKE_GWA_1 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface ge-0/0/0.0;
version v1-only;
1244
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm aes-256-gcm;
set lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPNA_1 {
bind-interface st0.1;
ike {
gateway IKE_GWA_1;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
1245
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Configuración de radios 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64
user@host# set st0 unit 1 family inet6 address 2001:db8:7000::2/64
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
1250
family inet6 {
address 2001:db8:3000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:4000::1/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:7000::2/64;
}
}
}
[edit]
user@host# show protocols
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
demand-circuit;
dynamic-neighbors;
}
interface ge-0/0/1.0;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ];
}
}
[edit]
1251
proposals IPSEC_PROP;
}
vpn IPSEC_VPN_SPOKE_1 {
bind-interface st0.1;
ike {
gateway IKE_GW_SPOKE_1;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
1253
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Configuración de radios 2
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64
user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64
user@host# set st0 unit 1 family inet6 address 2001:db8:7000::3/64
5. Configurar zonas.
Resultados
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:5000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:6000::1/64;
}
}
}
st0 {
1258
unit 1 {
family inet6 {
address 2001:db8:7000::3/64;
}
}
}
[edit]
user@host# show protocols
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
demand-circuit;
dynamic-neighbors;
}
interface ge-0/0/1.0;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ];
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
1259
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE2;
}
}
gateway IKE_GW_SPOKE_2 {
ike-policy IKE_POL;
address 2001:db8:2000::1;
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
remote-identity distinguished-name container OU=SLT;
external-interface ge-0/0/0.0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPN_SPOKE_2 {
bind-interface st0.1;
ike {
gateway IKE_GW_SPOKE_2;
ipsec-policy IPSEC_POL;
}
establish-tunnels on-traffic;
}
[edit]
user@host# show security zones
security-zone untrust {
1260
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
1261
}
}
Comproba
in this section
Purpose
Intervención
Efectos
El show security ike sa comando enumera todas las SA activas de ICR Phase 1. Si no se enumera
ninguna SA, hubo un problema con el establecimiento de la fase 1. Compruebe los parámetros de
directiva ICR y las opciones de configuración de interfaz externa de su configuración. La fase 1 los
parámetros de propuesta deben coincidir en el concentrador y los radios.
Purpose
Intervención
Efectos
El show security ipsec sa comando enumera todas las SA activas de ICR Phase 2. Si no se enumera
ninguna SA, hubo un problema con el establecimiento de la fase 2. Compruebe los parámetros de
directiva ICR y las opciones de configuración de interfaz externa de su configuración. Los parámetros de
propuesta de la fase 2 deben coincidir en el concentrador y los radios.
1263
Purpose
Intervención
Efectos
Las puertas de enlace de saltos siguientes son las direcciones IP st0 de las interfaces de los radios. El
siguiente salto debe asociarse con el nombre correcto de VPN de IPsec.
Comprobando OSPFv3
Purpose
Compruebe que OSPFv3 hace referencia a las direcciones IP st0 de las interfaces de los radios.
Intervención
Navegación
Radios 1:
Radios 2:
SEE ALSO
in this section
Aplicables | 1265
Automática | 1270
Comproba | 1283
En este ejemplo se muestra cómo configurar los selectores de tráfico, en lugar de los protocolos de
enrutamiento dinámico, para reenviar paquetes a través de un túnel VPN en una implementación
AutoVPN. Cuando se configuran los selectores de tráfico, la interfaz de túnel seguro (st0) debe estar en
el modo punto a punto. Los selectores de tráfico se configuran tanto en los dispositivos radiales como en
los concentrados.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
• Dos dispositivos serie SRX conectados y configurados en un clúster del chasis. El clúster del chasis es
el concentrador AutoVPN.
• Certificados digitales inscritos en el concentrador y los dispositivos radiales que permiten que los
dispositivos se autentiquen entre sí.
Antes de empezar:
• Inscriba los certificados digitales en cada dispositivo. Consulte ejemplo: Carga manualde CA y
certificados locales.
1266
Descripción general
in this section
Topología | 1269
En este ejemplo, los selectores de tráfico se configuran en el concentrador y los radios de AutoVPN. Solo
el tráfico que se ajusta al selector de tráfico configurado se reenvía a través del túnel. En el
concentrador, el selector de tráfico está configurado con la dirección IP local 192.0.0.0/8 y con la
dirección IP remota 172.0.0.0/8. En los radios, el selector de tráfico se configura con la dirección IP local
172.0.0.0/8 y con la dirección IP remota 192.0.0.0/8.
Las direcciones IP del selector de tráfico configuradas en los radios pueden ser un subconjunto de las
direcciones IP del selector de tráfico configuradas en el concentrador. Esto se conoce como el selector
de tráfico coincidencia flexible.
Algunas de las fases 1 y 2 ICR opciones de túnel configuradas en los concentradores y radios de
AutoVPN deben tener los mismos valores. Tabla 93 en la página 1266 muestra los valores utilizados en
este ejemplo:
Tabla 93: Opciones de fase 1 y fase 2 para AutoVPN concentradores y radios con selectores de tráfico
, Valor
ICR propuesta:
Directiva de ICR:
1267
Tabla 93: Opciones de fase 1 y fase 2 para AutoVPN concentradores y radios con selectores de tráfico
(Continued)
, Valor
Medio principalmente
Versi v1-only
Propuesta de IPsec:
Protocolo sensorial
150.000 kilobytes
Directiva IPsec:
1268
Tabla 93: Opciones de fase 1 y fase 2 para AutoVPN concentradores y radios con selectores de tráfico
(Continued)
, Valor
Topología
Figura 69 en la página 1269muestra los dispositivos serie SRX que se configurarán para este ejemplo.
Automática
in this section
Configurando el concentrador
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/2 gigether-options redundant-parent reth1
user@host# set ge-0/0/3 gigether-options redundant-parent reth0
user@host# set ge-8/0/2 gigether-options redundant-parent reth1
user@host# set ge-8/0/3 gigether-options redundant-parent reth0
user@host# set lo0 unit 0 family inet address 10.100.1.100/24
user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
user@host# set reth0 redundant-ether-options redundancy-group 1
user@host# set reth0 unit 0 family inet address 192.168.81.1/8
user@host# set reth1 redundant-ether-options redundancy-group 1
user@host# set reth1 unit 0 family inet address 10.2.2.1/24
user@host# set st0 unit 1 family inet
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security
ikeescriba show security ipseclos show security pkicomandos show security zones,, show security
policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo
para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/3 {
gigether-options {
redundant-parent reth0;
}
}
lo0 {
unit 0 {
family inet {
address 10.100.1.100/24;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.81.1/8;
}
1275
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.2.2.1/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host# show security ike
proposal prop_ike {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ikepol1 {
mode main;
proposals prop_ike;
certificate {
local-certificate Hub_ID;
}
}
gateway HUB_GW {
ike-policy ikepol1;
dynamic distinguished-name wildcard DC=Domain_component;
dynamic ike-user-type group-ike-id;
local-identity distinguished-name;
external-interface reth1;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal prop_ipsec {
1276
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-192-cbc;
lifetime-seconds 3600;
lifetime-kilobytes 150000;
}
policy ipsecpol1 {
perfect-forward-secrecy {
keys group5;
}
proposals prop_ipsec;
}
vpn HUB_VPN {
bind-interface st0.1;
ike {
gateway HUB_GW;
ipsec-policy ipsecpol1;
}
traffic-selector ts1 {
local-ip 192.0.0.0/8;
remote-ip 172.0.0.0/8;
}
}
[edit]
user@host# show security pki
ca-profile rsa {
ca-identity rsa;
revocation-check {
disable;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
1277
st0.1;
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lo0.0;
reth1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Configuración de radios
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1279
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 172.16.1.1/24
user@host# set ge-0/0/3 unit 0 family inet address 10.2.2.253/24
user@host# set st0 unit 1 family inet
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security
ikeescriba show security ipseclos show security pkicomandos show security zones,, show security
policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo
para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/1 {
1281
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.2.2.253/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host# show security ike
proposal prop_ike {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ikepol1 {
mode main;
proposals prop_ike;
certificate {
local-certificate Spoke1_ID;
}
}
gateway SPOKE_GW {
ike-policy ikepol1;
address 10.2.2.1;
local-identity distinguished-name;
remote-identity distinguished-name container DC=Domain_component;
external-interface ge-0/0/3.0;
version v1-only;
}
[edit]
user@host# show security ipsec
1282
proposal prop_ipsec {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-192-cbc;
lifetime-seconds 3600;
lifetime-kilobytes 150000;
}
policy ipsecpol1 {
perfect-forward-secrecy {
keys group5;
}
proposals prop_ipsec;
}
vpn SPOKE_VPN {
bind-interface st0.1;
ike {
gateway SPOKE_GW;
ipsec-policy ipsecpol1;
}
traffic-selector ts1 {
local-ip 172.0.0.0/8;
remote-ip 192.0.0.0/8;
}
establish-tunnels immediately;
}
[edit]
user@host# show security pki
ca-profile rsa {
ca-identity rsa;
revocation-check {
disable;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
1283
}
interfaces {
st0.1;
ge-0/0/3.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Comproba
in this section
Comprobación de túneles
Purpose
Compruebe que los túneles se establecen entre el concentrador y los radios de AutoVPN.
Intervención
Desde el modo operativo, escriba show security ike security-associations los show security ipsec
security-associations comandos y en el concentrador.
Desde el modo operativo, escriba show security ike security-associations los show security ipsec
security-associations comandos y en el radio.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. El
show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. El
concentrador muestra un túnel activo hacia las radios mientras que el radio muestra un túnel activo
hacia el concentrador.
Si no se enumera ninguna SA para ICR fase 1, se produjo un problema con el establecimiento de la fase
1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los radios.
1287
Si no se enumera ninguna SA para ICR fase 2, se produjo un problema con el establecimiento de la fase
2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración. La fase 2 los parámetros de propuesta deben coincidir en el concentrador y los radios.
Purpose
Intervención
Desde el modo operativo, escriba show security ipsec traffic-selector interface-name st0.1 el comando
en el concentrador.
Desde el modo operativo, escriba show security ipsec traffic-selector interface-name st0.1 el comando
en el radio.
Efectos
Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel
si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico
que se ajusta a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el
iniciador y el respondedor (el concentrador serie SRX).
1288
SEE ALSO
in this section
Aplicables | 1288
Automática | 1292
Comproba | 1313
En este ejemplo, se configuran concentradores de AutoVPN con varios selectores de tráfico en serie SRX
dispositivos para garantizar que existen puertas de enlace de VPN IPsec georedundantes para los
dispositivos de eNodeB. La inserción automática de rutas (ARI) se utiliza para insertar rutas
automáticamente hacia los dispositivos eNodeB en las tablas de encaminamiento de los concentradores.
Luego, se distribuyen rutas ARI a la red principal del proveedor a través de BGP.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
• Dos dispositivos serie SRX conectados y configurados en un clúster del chasis. El clúster del chasis es
AutoVPN del concentrador A.
• dispositivos eNodeB que pueden establecer túneles VPN de IPsec con concentradores de AutoVPN.
los dispositivos eNodeB son proveedores de equipos de red de terceros que inician un túnel VPN con
concentradores AutoVPN.
• Certificados digitales inscritos en los concentradores y los dispositivos de eNodeB que permiten que
los dispositivos se autentiquen entre sí.
Antes de empezar:
• Inscriba los certificados digitales en cada dispositivo. Consulte ejemplo: Carga manualde CA y
certificados locales.
En este ejemplo se utiliza el protocolo de enrutamiento dinámico BGP para anunciar rutas hacia los
dispositivos eNodeB a la red central.
Descripción general
in this section
Topología | 1292
En este ejemplo, dos concentradores de AutoVPN se configuran con varios selectores de tráfico en serie
SRX dispositivos para proporcionar puertas de enlace de VPN IPsec georedundantes a los dispositivos
de eNodeB. ARI inserta rutas automáticamente a los dispositivos eNodeB en las tablas de enrutamiento
de los concentradores. Luego, se distribuyen rutas ARI a la red principal del proveedor a través de BGP.
Algunas de las fases 1 y 2 ICR opciones de túnel configuradas en los concentradores AutoVPN y
eNodeB deben tener los mismos valores. Tabla 94 en la página 1289 muestra los valores utilizados en
este ejemplo:
, Valor
ICR propuesta:
1290
Tabla 94: Opciones de las fases 1 y 2 de los concentradores AutoVPN georedundantes (Continued)
, Valor
Directiva de ICR:
Versi v2-only
Propuesta de IPsec:
Protocolo sensorial
1291
Tabla 94: Opciones de las fases 1 y 2 de los concentradores AutoVPN georedundantes (Continued)
, Valor
Directiva IPsec:
En este ejemplo, la Directiva de seguridad predeterminada que permite todo el tráfico se utiliza para
todos los dispositivos. Deben configurarse políticas de seguridad más restrictivas para los entornos de
producción. Consulte Introducción a las políticas de seguridad. Para simplificar, la configuración en el
serie SRX dispositivos permite todo tipo de tráfico entrante; Esta configuración no es recomendable
para las implementaciones de producción.
1292
Topología
Figura 70 en la página 1292muestra los dispositivos serie SRX que se configurarán para este ejemplo.
Figura 70: Puertas de enlace interredundantes IPSec VPN para dispositivos eNodeB
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
1293
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1295
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/2 gigether-options redundant-parent reth1
user@host# set ge-0/0/3 gigether-options redundant-parent reth0
user@host# set ge-8/0/2 gigether-options redundant-parent reth1
user@host# set ge-8/0/3 gigether-options redundant-parent reth0
user@host# set lo0 unit 0 family inet address 100.100.1.100/24
user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1
user@host# set reth0 redundant-ether-options redundancy-group 1
user@host# set reth0 unit 0 family inet address 172.168.2.1/16
user@host# set reth1 redundant-ether-options redundancy-group 1
user@host# set reth1 unit 0 family inet address 2.2.2.1/24
user@host# set st0 unit 1 family inet
Resultados
Desde el modo de configuración, especifique los show interfaces show security ikeshow security
ipseccomandos,, show protocols bgpshow policy-optionsshow security pkishow security zones,, y y
1298
[edit]
user@host# show interfaces
ge-0/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/3 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/3 {
gigether-options {
redundant-parent reth0;
}
}
lo0 {
unit 0 {
family inet {
address 100.100.1.100/24;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 172.168.2.1/16;
1299
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 2.2.2.1/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host# show security ike
proposal prop_ike {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ph1_ike_policy {
proposals prop_ike;
certificate {
local-certificate HubA_certificate;
}
}
gateway HUB_GW {
ike-policy ph1_ike_policy;
dynamic {
distinguished-name {
wildcard DC=Common_component;
}
ike-user-type group-ike-id;
}
dead-peer-detection {
probe-idle-tunnel;
}
1300
local-identity distinguished-name;
external-interface reth1;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal prop_ipsec {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy ph2_ipsec_policy {
perfect-forward-secrecy {
keys group5;
}
proposals prop_ipsec;
}
vpn HUB_VPN {
bind-interface st0.1;
ike {
gateway HUB_GW;
ipsec-policy ph2_ipsec_policy;
}
traffic-selector ts1 {
local-ip 172.0.0.0/8;
remote-ip 50.0.0.0/8;
}
traffic-selector ts2 {
local-ip 172.0.0.0/8;
remote-ip 30.0.0.0/8;
}
}
[edit]
user@host# show protocols bgp
group internal-peers {
type internal;
local-address 172.168.2.1;
export [ inject_ts1_routes inject_ts2_routes inject_up_routes ];
neighbor 172.168.2.4;
}
[edit]
user@host# show policy-options
policy-statement inject_ts1_routes {
1301
term cp_allow {
from {
protocol static;
route-filter 30.1.2.0/24 orlonger;
route-filter 30.1.1.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_ts2_routes {
term mp_allow {
from {
protocol static;
route-filter 50.1.1.0/24 orlonger;
route-filter 50.1.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_up_routes {
term up_allow {
from {
protocol static;
route-filter 172.168.1.0/24 orlonger;
route-filter 172.168.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
[edit]
user@host# show security pki
ca-profile csa {
ca-identity csa;
revocation-check {
1302
disable;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lo0.0;
reth1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Configurando el concentrador B
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
1. Configurar interfaces.
[edit interfaces]
user@host# set ge-0/0/1 unit 0 family inet address 4.4.4.1/24
user@host# set ge-0/0/2 unit 0 family inet address 172.169.1.1/16
user@host# set lo0 unit 0 family inet address 100.100.1.101/24
user@host# set st0 unit 1 family inet
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces show security ike,
show security ipsecescriba show protocols bgplos show security pkicomandos show security zones,,
show security policies , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de
este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 4.4.4.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
1308
family inet {
address 172.169.1.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 100.100.1.101/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host# show security ike
proposal prop_ike {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ph1_ike_policy {
proposals prop_ike;
certificate {
local-certificate HubB_certificate;
}
}
gateway HUB_GW {
ike-policy ph1_ike_policy;
dynamic {
distinguished-name {
wildcard DC=Common_component;
}
ike-user-type group-ike-id;
}
dead-peer-detection {
probe-idle-tunnel;
}
local-identity distinguished-name;
1309
external-interface reth1;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal prop_ipsec {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy ph2_ipsec_policy {
perfect-forward-secrecy {
keys group5;
}
proposals prop_ipsec;
}
vpn HUB_VPN {
bind-interface st0.1;
ike {
gateway HUB_GW;
ipsec-policy ph2_ipsec_policy;
}
traffic-selector ts1 {
local-ip 172.0.0.0/8;
remote-ip 50.0.0.0/8;
}
traffic-selector ts2 {
local-ip 172.0.0.0/8;
remote-ip 30.0.0.0/8;
}
}
[edit]
user@host# show protocols bgp
group internal-peers {
type internal;
local-address 172.169.1.1;
export [ inject_ts1_routes inject_ts2_routes inject_up_routes ];
neighbor 172.169.1.2;
}
user@host# show policy-options
policy-statement inject_ts1_routes {
term cp_allow {
from {
1310
protocol static;
route-filter 30.1.2.0/24 orlonger;
route-filter 30.1.1.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_ts2_routes {
term mp_allow {
from {
protocol static;
route-filter 50.1.1.0/24 orlonger;
route-filter 50.1.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_up_routes {
term up_allow {
from {
protocol static;
route-filter 172.169.1.0/24 orlonger;
route-filter 172.169.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
[edit]
user@host# show security pki
ca-profile csa {
ca-identity csa;
revocation-check {
disable;
}
1311
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
lo0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
• Propuestas de las fases 1 y 2 que coincidan con las configuraciones de los concentradores de
serie SRX
Resultados
Los dispositivos eNodeB de este ejemplo utilizan strongSwan software de código abierto para
conexiones VPN basadas en IPsec:
config setup
plutostart=yes
plutodebug=all
charondebug="ike 4, cfg 4, chd 4, enc 1"
charonstart=yes #ikev2 deamon"
nat_traversal=yes #<======= need to enable even no nat_t
conn %default
ikelifetime=60m
keylife=45m
rekeymargin=2m
keyingtries=4
mobike=no
conn Hub_A
keyexchange=ikev2
authby=pubkey
ike=aes256-sha-modp1536
esp=aes256-sha1-modp1536
leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt
left=5.5.5.1 # self if
leftsubnet=30.1.1.0/24 # left subnet
leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City,
1313
conn Hub_B
keyexchange=ikev2
authby=pubkey
ike=aes256-sha-modp1536
esp=aes192-sha1-modp1536
leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt
left=5.5.5.1 # self if
leftsubnet=30.1.1.0/24 # self net for proxy id
leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City,
ST=CA, C=US " # self id
right=4.4.4.1 # peer if
rightsubnet=80.1.1.0/24 # peer net for proxy id
rightid="DC=Domain_component, CN=HubB_certificate, OU=Dept, O=Company,
L=City, ST=CA, C=US " # peer id
auto=add
leftfirewall=yes
dpdaction=restart
dpddelay=10
dpdtimeout=120
rekeyfuzz=10%
reauth=no
Comproba
in this section
Purpose
Compruebe que se han establecido los túneles entre el concentrador AutoVPN y los dispositivos
eNodeB.
Intervención
Desde el modo operativo, escriba show security ike security-associations los show security ipsec
security-associations comandos y en el concentrador.
Efectos
El show security ike security-associations comando enumera todas las SA activas de ICR Phase 1. El
show security ipsec security-associations comando enumera todas las SA activas de ICR Phase 2. El
concentrador muestra dos túneles activos, uno a cada dispositivo de eNodeB.
Si no se enumera ninguna SA para ICR fase 1, se produjo un problema con el establecimiento de la fase
1. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración. La fase 1 los parámetros de propuesta deben coincidir en el concentrador y los
dispositivos eNodeB.
Si no se enumera ninguna SA para ICR fase 2, se produjo un problema con el establecimiento de la fase
2. Compruebe los parámetros de directiva ICR y las opciones de configuración de interfaz externa de su
configuración. Los parámetros de propuesta de la fase 2 deben coincidir en los dispositivos concentrador
y eNodeB.
Purpose
Intervención
En modo operativo, escriba el show security ipsec traffic-selector interface-name st0.1 comando.
Efectos
Un selector de tráfico es un acuerdo entre ICR interlocutores para permitir el tráfico a través de un túnel
si el tráfico coincide con un par especificado de direcciones locales y remotas. Solo se permite el tráfico
que se ajusta a un selector de tráfico a través de una SA. Los selectores de tráfico se negocian entre el
iniciador y el respondedor (el concentrador serie SRX).
Purpose
Intervención
Efectos
La inserción automática de rutas (ARI) inserta automáticamente una ruta estática para la red remota y
los hosts protegidos por un extremo de túnel remoto. Se crea una ruta basada en la dirección IP remota
configurada en el selector de tráfico. En el caso de los selectores de tráfico, la dirección remota
configurada se inserta como ruta en la instancia de enrutamiento asociada con la interfaz st0 que está
enlazada a la VPN.
Las rutas estáticas de los eNodeB destinos 30.1.1.0/24 y 50.1.1.0/24 se agregan a la tabla de
enrutamiento del concentrador serie SRX. Estas rutas se pueden alcanzar a través de la interfaz St 0.1.
SEE ALSO
release-history
17.4R1 A partir de Junos OS Release 17.4 R1, la dirección IPv6 se soporta en AutoVPN.
17.4R1 A partir de Junos OS versión 17.4 R1, AutoVPN Networks que utilizan interfaces de túnel
seguro en modo punto a punto admiten direcciones IPv6 para los selectores de tráfico y para
los interlocutores ICR.
15.1X49-D120 A partir de Junos OS Release 15.1 X49-D120, puede configurar la opción reject-duplicate-
connection de CLI en eledit security ike gateway gateway-name dynamicnivel de jerarquía []
para conservar una sesión de túnel existente y rechazar las solicitudes de negociación para un
nuevo túnel con el mismo ID ICR.
VÍNCULOS RELACIONADOS
VPN de acceso remoto con cliente de acceso remoto NCP exclusivo | 1320
in this section
Descripción de VPN de IPsec con cliente de acceso remoto NCP exclusivo | 1320
Descripción de VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo | 1325
Ejemplo Configuración del dispositivo de serie SRX para clientes de acceso remoto NCP y exclusivos | 1329
El cliente de acceso remoto NCP exclusivo es parte de la solución de acceso remoto NCP en modo
exclusivo para las puertas de enlace de Juniper serie SRX. El cliente VPN solo está disponible con la
administración de acceso remoto NCP exclusiva. Utilice el cliente exclusivo NCP para establecer
vínculos de datos seguros basados en IPsec desde cualquier ubicación cuando se conecte con puertas de
enlace de serie SRX.
in this section
Licencias | 1321
AutoVPN | 1321
ADVERTENCIAS | 1325
1321
En esta sección se describe la compatibilidad con VPN de IPsec en dispositivos serie SRX para software
cliente NCP de acceso remoto exclusivo.
Los usuarios que ejecuten software cliente de acceso remoto NCP exclusivo en dispositivos con
Windows y MAC OS pueden establecer conexiones IKEv1 o VPN de IPsec para IKEv2 con dispositivos
de serie SRX. El software de cliente de acceso remoto exclusivo de NCP se puede descargar desde los
Productos NCP.
Licencias
Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Para
otros usuarios, es necesario disponer de una licencia. Póngase en contacto con Juniper Networks
representante de su red para obtener todas las licencias de acceso remoto.
La licencia se basa en el número de usuarios. Por ejemplo, si el número de licencias instaladas es para
100 usuarios, entonces 100 usuarios distintos pueden establecer conexiones VPN. Debido a los
selectores de tráfico, cada usuario puede establecer varios túneles. Cuando un usuario se desconecta, su
licencia se libera un minuto después de que el ICR y las asociaciones de seguridad (SA) de IPsec expiren.
Las licencias de las instancias de vSRX se basan en la suscripción: los usuarios de acceso remoto
conectados no se desconectarán inmediatamente cuando expire una licencia instalada. Cuando un
usuario de acceso remoto se desconecta, y el ICR correspondiente y las SA de IPsec caducan, la
posterior conexión del usuario depende de si la licencia instalada actualmente ha caducado o no.
AutoVPN
El cliente de acceso remoto NCP y exclusivo es compatible con AutoVPN en el modo de interfaz de
túnel seguro punto a punto. AutoVPN sólo se admite en VPN de IPsec basadas en rutas en el dispositivo
serie SRX.
Selectores de tráfico
Los selectores de tráfico configurados en el dispositivo de serie SRX y el cliente de NCP determinan el
tráfico de cliente que se envía a través del túnel VPN de IPsec. El tráfico entrante y saliente del túnel
solo se permite para los selectores de tráfico negociados. Si la búsqueda de ruta para la dirección de
destino de un paquete apunta a una interfaz st0 (en la cual están configurados los selectores de tráfico) y
1322
el selector de tráfico del paquete no coincide con el selector de tráfico negociado, el paquete se
descarta. Con el cliente de acceso remoto exclusivo NCP se admiten las SA de IPsec de varias fases y la
inserción de ruta automática (ARI). No se admite el selector de tráfico coincidencia flexible con puerto y
protocolos. Para esta característica, la dirección remota del selector de tráfico debe ser 0.0.0.0/0.
En muchos casos, todo el tráfico procedente de los clientes de acceso remoto se envía a través de
túneles VPN. La dirección local configurada en el selector de tráfico puede ser 0.0.0.0/0 o una dirección
específica, como se explica en las secciones siguientes.
Para las conexiones cliente de acceso remoto NCP exclusivas se admite la configuración de un selector
de tráfico en el dispositivo de serie SRX con dirección remota 0.0.0.0/0. Una vez completada la
negociación VPN, se espera que la dirección remota del selector de tráfico sea una sola dirección IP (la
dirección del cliente de acceso remoto asignada por un servidor RADIUS o el conjunto de direcciones
locales).
Túnel dividido
La tunelización dividida utiliza un prefijo más corto que 0.0.0.0/0 como dirección del recurso protegido
para la dirección local en un selector de tráfico configurado en el dispositivo serie SRX. Se puede
configurar el correspondiente selector de tráfico en el cliente de acceso remoto. El dispositivo serie SRX
permite el tráfico en el túnel VPN que coincide con los resultados de la coincidencia flexible de ambos
selectores de tráfico. Si el selector de tráfico configurado en el cliente de acceso remoto no puede hacer
coincidir con el selector de tráfico configurado en el dispositivo de serie SRX, la negociación de túnel
fracasará. Para IKEv1, las direcciones locales y remotas de la configuración del selector de tráfico del
cliente deben ser las mismas direcciones o un subconjunto de direcciones del correspondiente selector
de tráfico configurado en el dispositivo serie SRX.
Varias subredes
En el dispositivo de serie SRX, puede configurarse un único selector de tráfico para cada subred
protegida. Las subredes no se pueden superponer. En el cliente de acceso remoto NCP en modo
exclusivo, debe configurarse un selector de tráfico para cada selector de tráfico configurado en el
dispositivo de serie SRX. Las direcciones que se configuran en la ventana de túnel dividido del cliente de
acceso remoto NCP exclusivo se utilizan como el selector de tráfico remoto del cliente; Estas direcciones
deben ser las mismas direcciones o un subconjunto de direcciones del correspondiente selector de
tráfico configurado en el dispositivo serie SRX. Se crea un par de SA IPsec para cada selector de tráfico.
Existen dos formas de autenticación extendida del cliente de acceso remoto NCP exclusivo en función
de la versión ICR del cliente:
1323
• Servidor NCP IKEv1 autenticación exclusiva de cliente de acceso remoto es compatible con XAuth
mediante el uso de RADIUS Server o un perfil de acceso local. En el caso de las conexiones de acceso
remoto IKEv1, las claves previamente compartidas se utilizan para la autenticación ICR la fase 1.
Autenticación extendida (XAuth) se utiliza para autenticar el usuario de acceso remoto. El dispositivo
serie SRX debe configurarse para ICR el modo de borrado intenso.
Para el cliente de acceso remoto exclusivo NCP IKEv1, se admite la autenticación de clave
previamente compartida con AutoVPN. Para las implementaciones AutoVPN que no utilizan
autenticación basada en usuario, solo se admite la autenticación de certificados.
• La autenticación de cliente de acceso remoto exclusivo NCP IKEv2 requiere un servidor RADIUS que
admita EAP. El dispositivo serie SRX actúa como autenticador de paso a través para retransmitir
mensajes EAP entre el cliente de acceso remoto NCP exclusivo y el servidor RADIUS. Se admiten los
siguientes tipos de autenticación de EAP:
• EAP-MSCHAPv2
El servidor de RADIUS debe generar una clave de sesión principal para EAP-MSCHAPv2.
• EAP-MD5
• EAP-TLS
Para el cliente NCP de acceso remoto exclusivo de IKEv2, se utiliza un certificado digital para
autenticar el dispositivo serie SRX. Para autenticar el cliente de acceso remoto se utiliza el protocolo
de autenticación extensible (EAP).
Asignación de atributos
Para clientes de acceso remoto IKEv1 o IKEv2, los atributos se pueden asignar a través de un servidor
RADIUS o a través de la configuración de los atributos de red locales. Si se utiliza un servidor RADIUS
para la autenticación pero no se asigna ningún atributo de red, los atributos de red (incluidas las
direcciones IP) pueden configurarse localmente si es necesario.
Los siguientes atributos de cliente se basan en RFC 2865, Identificador de redes privadas virtuales y se
admiten con cliente de acceso remoto exclusivo IKEv1 e IKEv2 NCP:
• Dirección IP entramada
Se admiten los siguientes atributos específicos de proveedor de Juniper (VSA) con IKEv1 y el cliente de
acceso remoto exclusivo NCP de IKEv2:
• Juniper-principal-DNS
1324
• Juniper-principal-WINS
Asignación de direcciones IP
Si se asigna una dirección IP desde el conjunto de direcciones locales y por un servidor RADIUS,
prevalecerá la dirección IP asignada por el servidor RADIUS. Si el servidor RADIUS no devuelve una
dirección IP y hay un grupo de direcciones locales configurado por el usuario, se asigna una dirección IP
al cliente remoto desde el grupo local.
Cuando se asigna una dirección IP desde un servidor de RADIUS externo o un conjunto de direcciones
locales, se pasa una dirección IP con una máscara de 32 bits al cliente de acceso remoto NCP exclusivo.
Después de establecer el túnel, la inserción automática de ruta (ARI) inserta automáticamente una ruta
estática a la dirección IP del cliente remoto para que el tráfico desde detrás del dispositivo de la serie
SRX se pueda enviar al túnel VPN a la dirección IP del cliente.
Es posible que los selectores de tráfico configurados no cubran las direcciones IP asignadas por el
servidor RADIUS o un conjunto de direcciones locales. En este caso, es posible que un cliente remoto no
pueda alcanzar una dirección IP para otro cliente remoto de la subred a través de un túnel VPN. Un
selector de tráfico debe configurarse de forma explícita que coincida con la dirección IP asignada al otro
cliente remoto por el servidor RADIUS o el conjunto de direcciones locales.
Características compatibles
Las siguientes características son compatibles con el dispositivo de serie SRX con el cliente de acceso
remoto exclusivo NCP:
• Inicio del tráfico desde el dispositivo de serie SRX, así como el cliente de acceso remoto exclusivo
NCP
ADVERTENCIAS
Las siguientes características no son compatibles con el dispositivo de serie SRX con el cliente de acceso
remoto exclusivo NCP:
• Protocolos de enrutamiento
El cliente de acceso remoto exclusivo NCP IKEv2 debe usar certificados para autenticar el dispositivo
serie SRX.
• Tráfico IPv6
• Supervisión de VPN
• Los selectores de tráfico recibidos del cliente de acceso remoto exclusivo NCP en el mismo enrutador
virtual no deben contener direcciones IP superpuestas
SEE ALSO
in this section
Ventajas de las VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo | 1326
Licencias | 1327
Funcionamiento | 1327
ADVERTENCIAS | 1328
En muchos entornos de zona activa pública, el tráfico UDP se bloquea mientras que las conexiones TCP
a través del puerto 443 se permiten normalmente. Para estos entornos, serie SRX dispositivos pueden
admitir VPN de acceso remoto mediante la encapsulación de mensajes IPsec en una conexión TCP. Esta
implementación es compatible con el cliente de acceso remoto NCP de otro fabricante. En esta sección
se describe la compatibilidad de clientes de acceso remoto NCP exclusivo en dispositivos serie SRX.
Ventajas de las VPN de acceso remoto SSL con cliente de acceso remoto NCP
exclusivo
• El acceso remoto seguro se garantiza incluso cuando un dispositivo entre el cliente y la puerta de
enlace se bloquea Intercambio de claves por red (ICR) (puerto UDP 500).
• Los usuarios conservan un acceso seguro a las aplicaciones y recursos empresariales en todos los
entornos de trabajo.
Los usuarios que ejecutan software cliente NCP de acceso remoto exclusivo en Windows, macOS, Apple
iOS y dispositivos Android pueden establecer conexiones TCP a través del puerto 443 con dispositivos
serie SRX para intercambiar el tráfico IPsec encapsulado.
El cliente de acceso remoto NCP en modo exclusivo se ejecuta en cualquiera de los dos modos
siguientes:
• El buscador de rutas NCP v1, que admite mensajes IPsec encapsulados en una conexión TCP a través
del puerto 443
• El buscador de rutas NCP V2, que admite mensajes IPsec con una conexión SSL/TLS (NCP path
Finder V2 utiliza TLSv 1.0).
El protocolo de enlace SSL correcto se realiza con certificados RSA. Los mensajes IPsec se cifran con las
claves intercambiadas durante el protocolo de enlace SSL. Esto da como resultado un doble cifrado, una
para el túnel SSL y otra para el túnel IPsec.
1327
Para la compatibilidad con el buscador de rutas NCP V2, los certificados de RSA deben cargarse en el
dispositivo de serie SRX y un perfil de terminación SSL que haga referencia al certificado que debe
configurarse.
El cliente de acceso remoto NCP en modo exclusivo proporciona un mecanismo de reserva en caso de
que se produzcan errores en intentos de conexión IPsec regulares debido a que los servidores proxy o
firewall bloquean el tráfico IPsec. El modo de buscador de rutas de NCP V2 es una mejora que ofrece
una comunicación TLS completa, que no quedará bloqueada por servidores de seguridad o proxies de
nivel de aplicación muy restrictivos. Si no se puede establecer una conexión IPsec normal, el cliente de
acceso remoto NCP exclusivo cambiará automáticamente al modo de buscador de rutas de NCP v1. Si el
cliente sigue sin poder conectarse a la puerta de enlace, NCP habilitará el modo de buscador de rutas de
NCP V2 mediante la negociación TLS completa.
Licencias
Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Una
licencia debe comprarse e instalarse para usuarios simultáneos adicionales.
Funcionamiento
En un dispositivo serie SRX, un Perfil de encapsulación TCP define la operación de encapsulado de datos
para los clientes de acceso remoto. Se pueden configurar varios perfiles de encapsulación TCP para que
controlen distintos conjuntos de clientes. Para cada perfil, se configura la siguiente información:
• Opciones de seguimiento.
Las conexiones TCP de cliente de acceso remoto exclusivo NCP se aceptan en el puerto 443 del
dispositivo serie SRX.
El perfil de encapsulación TCP está configurado con tcp-encap la instrucción en eledit securitynivel de
jerarquía []. A continuación, el perfil de encapsulación se tcp-encap-profile especifica con la
instrucciónedit security ike gateway gateway-nameen el nivel de jerarquía []. Incluye el perfil de
encapsulación TCP en la configuración de puerta de enlace de ICR. Por ejemplo:
system-services ike
user@host# set security zones security-zone zone-name interfaces interface-name host-inbound-traffic
system-services tcp-encap
Características compatibles
Las siguientes características son compatibles con un dispositivo de serie SRX con un cliente de acceso
remoto NCP exclusivo:
• AutoVPN en modo punto a punto con túneles IPsec basados en los selectores de tráfico
• Inicio del tráfico desde dispositivos detrás de la puerta de enlace en un dispositivo serie SRX
ADVERTENCIAS
Las conexiones TCP de clientes de acceso remoto NCP y exclusivos utilizan el puerto 443 en
dispositivos serie SRX. El puerto de administración de J-web Device Management debe cambiarse del
puerto predeterminado 443, TCP-encap debe estar configurado para los servicios del sistema de entrada
de host. Utilice el set security zones security-zone zone host-inbound-traffic system-services tcp-encap
comando. (También debe configurarse el ICR para servicios del sistema de entrada de set security zones
security-zone zone host-inbound-traffic system-services ike host mediante el comando.)
Es posible que los túneles que utilizan conexiones TCP no sobrevivan la emisión si el tiempo de espera
de la detección de pares inactivos (DPD) no es suficientemente grande. Para sobrevivir a la emisión,
aumente el tiempo de espera DPD a un valor superior a 120 segundos. El tiempo de espera DPD es un
producto del intervalo DPD y del umbral configurados. Por ejemplo, si el intervalo DPD es 32 y el umbral
es 4, el tiempo de espera es 128.
TDR-T se deshabilita durante la negociación con clientes en los que la configuración usa TCP-encap,
puesto que TDR-T no es necesario para estos túneles.
Las siguientes características no se admiten en un dispositivo serie SRX con clientes de acceso remoto
NCP exclusivos:
1329
• Protocolos de enrutamiento
• Tráfico IPv6
• Supervisión de VPN
SEE ALSO
TCP-encap | 1713
in this section
Aplicables | 1329
Automática | 1333
Comproba | 1344
En este ejemplo se muestra cómo configurar un dispositivo serie SRX o una instancia de vSRX para
admitir conexiones VPN de IPsec IKEv2 desde clientes de acceso remoto exclusivo NCP. La
configuración también admite el tráfico encapsulado TCP de clientes de acceso remoto exclusivos NCP.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
• Dispositivo serie SRX compatible o instancia vSRX que se ejecuta Junos OS Release 15.1-D80 o
posterior.
1330
• El software cliente NCP de acceso remoto exclusivo debe descargarse en los dispositivos de usuario
compatibles.
Una licencia de dos usuarios se suministra de forma predeterminada en un dispositivo serie SRX. Una
licencia debe comprarse e instalarse para usuarios adicionales. Comuníquese con su Juniper Networks
representante para obtener todas las licencias de acceso remoto
Antes de empezar:
Las conexiones TCP de clientes de acceso remoto NCP y exclusivos utilizan el puerto 443 en
dispositivos serie SRX. La administración de dispositivos en las conexiones TCP, como J-Web, puede
usar el puerto 443 en dispositivos serie SRX. El servicio del sistema de encapsulación TCP debe
configurarse para el tráfico de entrada de host en la zona en la que se reciben conexiones de cliente
de acceso remoto exclusivo NCP (la zona de no confianza en este ejemplo). Si J-Web se utiliza en el
puerto 443, el servicio de sistema de administración de Web debe configurarse para el tráfico de
entrada de host en la zona requerida.
• Configure el cliente de acceso remoto NCP exclusivo. Consulte la documentación del cliente de
acceso remoto NCP exclusivo para obtener información sobre cómo hacerlo.
La configuración del perfil de cliente NCP de acceso remoto único debe coincidir con la configuración
VPN del dispositivo de serie SRX.
• En este ejemplo, un servidor de RADIUS externo (como un servidor de Active Directory) autentica a
los usuarios del cliente de acceso remoto IKEv2 exclusivo mediante el protocolo EAP-TLS. En este
ejemplo, el servidor RADIUS está configurado con la dirección IP 192.0.2.12. Consulte la
documentación del servidor de RADIUS para obtener información sobre cómo configurar la
autenticación de usuario.
Descripción general
in this section
Topología | 1332
En este ejemplo, los usuarios del cliente de acceso remoto IKEv2 exclusivo se autentican con un servidor
de RADIUS externo mediante EAP-TLS. A un cliente autenticado se le asigna una dirección IP y un
servidor DNS principal de un conjunto de direcciones locales configurado en el dispositivo de serie SRX.
1331
El selector de tráfico se configura con 0.0.0.0/0 para las direcciones locales y remotas, lo que significa
que se permite cualquier tráfico en el túnel.
La encapsulación TCP y los ICR servicios del sistema de entrada de host se han configurado en la zona
de seguridad de no confianza. Si J-Web se utiliza en el puerto 443, también debe configurarse el servicio
de sistema de entrada de host HTTPS.
En este ejemplo, las políticas de seguridad permiten todo el tráfico. Deben configurarse políticas de
seguridad más restrictivas para los entornos de producción.
Tabla 95 en la página 1331muestra los valores ICR e IPSec configurados en el dispositivo serie SRX para
admitir conexiones de cliente de acceso remoto NCP exclusivo en este ejemplo.
Tabla 95: Opciones de ICR e IPSec en el dispositivo serie SRX para conexiones cliente de acceso
remoto NCP exclusivas
, Valor
ICR propuesta:
Directiva de ICR:
Versi v2-only
1332
Tabla 95: Opciones de ICR e IPSec en el dispositivo serie SRX para conexiones cliente de acceso
remoto NCP exclusivas (Continued)
, Valor
Propuesta de IPsec:
Protocolo sensorial
Directiva IPsec:
Topología
Figura 71: Conexión de cliente remoto NCP exclusivo a la puerta de enlace VPN de serie SRX
1333
Automática
in this section
En este ejemplo, el primer paso es inscribir un certificado de una entidad de certificación (CA) y un
certificado local en el dispositivo serie SRX. El certificado local se utiliza para autenticar el dispositivo de
serie SRX a los clientes remotos que utilizan una entidad emisora de certificados de Microsoft. De lo
contrario, la dirección URL siguiente será diferente. Tenga en cuenta que el ejemplo siguiente requiere
que el servidor de la entidad emisora de certificados admita SCEP.
La configuración del perfil de la entidad emisora depende del servidor de la entidad emisora de
certificados utilizado. En este ejemplo, la CRL se utiliza para comprobar la revocación de certificados.
Utilice las direcciones URL de inscripción y CRL adecuadas para su entorno.
[edit]
user@host# set security pki ca-profile CA_Server ca-identity CA_Server
user@host# set security pki ca-profile CA_Server enrollment url http://192.0.2.12/certsrv/mscep/
mscep.dll
user@host# set security pki ca-profile CA_Server revocation-check crl url http://192.0.2.12/crl
user@host$ commit
Para poder continuar, debe confirmarse la configuración del perfil de la entidad emisora.
user@host> request security pki generate-key-pair certificate-id RemoteAccessNCP size 2048 bytes
type rsa
5. Inscriba el certificado local. En este ejemplo, el certificado se inscribe con el protocolo de inscripción
de certificados simple (SCEP).
user@host> request security pki local-certificate enroll scep ca-profile CA_Server certificate-id
RemoteAccessNCP domain-name example.net subject
DC=example.net,L=Sunnyvale,O=example,OU=example challenge-password <password>
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set security policies from-zone VPN to-zone Trust policy 1 then log session-close
set security policies from-zone Trust to-zone VPN policy 1 match source-address any
set security policies from-zone Trust to-zone VPN policy 1 match destination-address
RemoteAccessNetworks
set security policies from-zone Trust to-zone VPN policy 1 match application any
set security policies from-zone Trust to-zone VPN policy 1 then permit
set security policies from-zone Trust to-zone VPN policy 1 then log session-init
set security policies from-zone Trust to-zone VPN policy 1 then log session-close
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para configurar el dispositivo serie SRX de manera que admita los clientes de acceso remoto NCP
exclusivo:
[edit]
user@host# set security tcp-encap profile NCP
1337
[edit]
user@host# set services ssl termination profile RemoteAccess server-certificate RemoteAccessNCP
Cuando el perfil de finalización SSL no está configurado, el único modo de buscador de rutas NCP
V1 es compatible. La compatibilidad con NCP path Finder V2 requiere una terminación SSL perfil
configurado. El buscador de rutas NCP v1 se admite cuando el perfil de terminación SSL está
configurado.
[edit]
user@host# set security tcp-encap profile NCP ssl-profile RemoteAccess
6. Configurar interfaces.
[edit interfaces]
user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24
user@host# set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.3/24
user@host# set interfaces st0 unit 0 family inet
9. Configurar zonas.
10. Configure una libreta de direcciones para las direcciones IP asignadas a los usuarios de acceso
remoto.
Resultados
Desde el modo de configuración, escriba los show access comandos y show security para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este
ejemplo para corregir la configuración.
}
}
}
}
firewall-authentication {
web-authentication {
default-profile xauth-users;
}
}
user@host# show security
pki {
ca-profile root-ca {
ca-identity root-ca;
revocation-check {
disable;
}
}
ca-profile CA_Server {
ca-identity CA_Server;
enrollment {
url http://192.0.2.12/certsrv/mscep/mscep.dll;
}
revocation-check {
crl {
url http://192.0.2.12/crl;
}
}
}
traceoptions {
flag all;
}
}
ike {
traceoptions {
file size 100m;
flag all;
level 15;
}
proposal CERT-DH19-AES256GCM {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-256;
encryption-algorithm aes-256-gcm;
1341
lifetime-seconds 28800;
}
policy RA_IKEv2_EXT-AUTH {
proposals CERT-DH19-AES256GCM;
certificate {
local-certificate RemoteAccessNCP;
}
}
gateway RA_IKEv2_EXT-AUTH {
ike-policy RA_IKEv2_EXT-AUTH;
dynamic {
user-at-hostname "remoteuser@example.net";
ike-user-type group-ike-id;
}
dead-peer-detection {
always-send;
interval 60;
threshold 5;
}
external-interface ge-0/0/1.0;
aaa {
access-profile RA_EXTERNAL-AUTH;
}
version v2-only;
tcp-encap-profile NCP;
}
}
ipsec {
proposal ESP-AES256GCM {
protocol esp;
encryption-algorithm aes-256-gcm;
}
policy RemoteAccess {
perfect-forward-secrecy {
keys group19;
}
proposals ESP-AES256GCM;
}
vpn RA_IKEv2_EXT-AUTH {
bind-interface st0.0;
ike {
gateway RA_IKEv2_EXT-AUTH;
ipsec-policy RemoteAccess;
1342
}
traffic-selector NO-SPLIT {
local-ip 0.0.0.0/0;
remote-ip 0.0.0.0/0;
}
}
}
address-book {
global {
address RemoteAccessNetworks 198.51.100.0/24;
}
}
flow {
traceoptions {
file flowd size 1g files 2;
flag all;
trace-level {
detail;
}
}
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
tcp-session {
maximum-window 1M;
}
}
policies {
from-zone VPN to-zone Trust {
policy 1 {
match {
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
1343
}
}
from-zone Trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address RemoteAccessNetworks;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
}
tcp-encap {
traceoptions {
file tcp-encap-log;
level verbose;
flag all;
}
profile NCP {
ssl-profile RemoteAccess;
}
}
traceoptions {
file ipsec size 10m;
flag all;
}
zones {
security-zone Untrust {
host-inbound-traffic {
system-services {
ike;
tcp-encap;
}
}
interfaces {
ge-0/0/1.0;
1344
}
}
security-zone Trust {
interfaces {
ge-0/0/2.0;
}
}
security-zone VPN {
interfaces {
st0.0;
}
}
}
Comproba
in this section
Purpose
Intervención
Address
2203522 UP c31358637e7a8e0d ac2aba751adeea8a IKEv2 198.51.100.200
Purpose
Mostrar la lista de usuarios activos conectados con detalles sobre las direcciones del mismo nivel y los
puertos que están usando.
Intervención
Purpose
Intervención
SEE ALSO
VÍNCULOS RELACIONADOS
in this section
La VPN dinámica permite a los clientes de pulsos seguros establecer túneles VPN de IPsec con puertas
de enlace de servicios SRX sin tener que configurar manualmente las conexiones VPN en sus equipos. La
autenticación de usuario se admite a través de un servidor RADIUS o un conjunto local de direcciones
IP.
Puede obtener software de cliente seguro de pulsos en el sitio Juniper Networks download software en
https://www.Juniper.net/support/downloads/?p=Pulse#sw.
in this section
Un túnel VPN permite a los usuarios tener acceso de forma segura a activos como servidores de correo
electrónico y servidores de aplicaciones que residen detrás de un servidor de seguridad. Los túneles
VPN de extremo a sitio son particularmente útiles para los usuarios remotos, como los teletrabajanos, ya
que un solo túnel permite el acceso a todos los recursos de una red: los usuarios no necesitan configurar
1349
la configuración de acceso individual para cada aplicación y servidor. Consulte Figura 72 en la página
1349la.
Figura 72: Uso de un túnel VPN para permitir el acceso remoto a una red corporativa
La característica VPN dinámica también se conoce como VPN de acceso remoto o cliente VPN de IPSec.
Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Software de cliente seguro a pulsos se utiliza para acceso a VPN. La autenticación de usuario se puede
realizar a través de un servidor de RADIUS externo o un conjunto de direcciones IP local configurado en
la puerta de enlace SRX. El cliente de acceso remoto de capa 3 utiliza la configuración del lado cliente
que recibe de la puerta de enlace de serie SRX para crear y administrar un túnel VPN de extremo a sitio
seguro a la puerta de enlace.
Si se requieren más de dos conexiones simultáneas de usuario, debe instalarse una licencia dinámica de
VPN en la puerta de enlace de serie SRX. Consulte la Guía de instalación y actualización del software
para obtener información sobre la instalación y administración de licencias. El número máximo de
conexiones de usuario que se admite depende del dispositivo de serie SRX.
Los túneles VPN dinámicos se configuran del mismo modo que los túneles VPN tradicionales. Sin
embargo, no se admiten todas las opciones de IPsec VPN. Esta característica es compatible con SRX100,
SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550, SRX550HM y
dispositivos de SRX650.
En la lista siguiente se describen los requisitos y las opciones compatibles al configurar túneles VPN
dinámicos:
• Solo se admiten VPN basadas en Directiva. Las VPN basadas en la ruta no son compatibles con
túneles VPN dinámicos. No se admiten protocolos de enrutamiento.
• Solo se admite el tráfico IPv4 y los túneles IPv4 en IPv4. No se admite el tráfico IPv6 ni los túneles.
• El modo agresivo se admite para intercambios ICR fase 1. No se admite el modo principal.
• El tráfico VPN sólo puede iniciarse desde el cliente remoto. No se admite el tráfico VPN iniciado
desde la puerta de enlace SRX.
• Se admite la autenticación desde un perfil local. Los atributos se pueden proporcionar desde un
conjunto local de direcciones. La autenticación y los atributos se pueden proporcionar desde un
servidor RADIUS.
• TDR-T es compatible.
• No se admite AutoVPN.
• Es necesario volver a autenticar a los usuarios durante ICR reclaves de la fase 1. El tiempo de
regeneración de claves es configurable.
1351
Los identificadores de ICR de grupo o compartidos se pueden utilizar para configurar una sola VPN
compartida por todos los clientes remotos. Cuando se comparte una sola VPN, el número total de
conexiones simultáneas a la puerta de enlace o Gateway no puede ser mayor que el número de licencias
de VPN dinámicas instaladas. Cuando configure una puerta de enlace de ID ICR de grupo o compartida,
puede configurar el número máximo de conexiones que serán mayores que el número de licencias de
VPN dinámicas instaladas. Sin embargo, si una conexión nueva supera el número de conexiones con
licencia, se rechazará la conexión. Puede ver la información de licencias de VPN dinámicas con el show
system license usage comando.
Una implementación de VPN dinámica común consiste en proporcionar acceso VPN a los clientes
remotos conectados a través de una red pública, como Internet. El acceso a IPsec se proporciona a
través de una puerta de enlace en el dispositivo Juniper Networks. Software de cliente seguro a pulsos
se utiliza para acceso a VPN. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y
dispositivos de SRX550HM.
Puede obtener software de cliente seguro de pulsos en el sitio Juniper Networks download software en
https://www.Juniper.net/support/downloads/?p=Pulse#sw.
A continuación, se describe el proceso de un cliente remoto seguro a pulsos para acceder a la VPN:
Para obtener instrucciones detalladas acerca de cómo conectar el programa cliente remoto al dispositivo
de serie SRX, consulte KB17641. Consulte también la documentación segura de pulsos para obtener
información del cliente actual.
En el dispositivo serie SRX, este nombre de host está configurado set security ike gateway
gateway-name dynamic hostname hostname con el comando. El administrador SRX debe
proporcionar el nombre de host a los usuarios remotos.
4. En nombre de dirección URL del servidor, escriba la dirección IP de la puerta de enlace SRX.
3. Haga clic Add en y, a continuación, en Connect . El programa cliente remoto de pulsos seguros se
conecta con el serie SRX mediante HTTPS.
5. Si está accediendo a una VPN dinámica por primera vez, vuelva a especificar sus credenciales de
usuario para establecer una asociación de IPsec. Se asigna una dirección IP al cliente remoto desde
un conjunto de direcciones locales o desde un servidor de RADIUS externo.
Las credenciales de usuario que se introducen en el paso 4 se utilizan para descargar la configuración
en el cliente remoto y establecer una SA ICR entre el cliente y el dispositivo serie SRX. Las
credenciales de usuario que se escriben en este paso se utilizan para establecer una asociación de
IPsec. Las credenciales de usuario pueden ser iguales o diferentes, en función de la configuración del
dispositivo de serie SRX.
Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
La configuración de propuestas de Intercambio de claves por red personalizadas (ICR) y seguridad IP
(IPsec) para las políticas ICR e IPsec puede resultar tediosa y tarda mucho tiempo si hay muchos clientes
VPN dinámicos . El administrador puede seleccionar conjuntos de propuestas básicas, compatibles o
estándar para clientes VPN dinámicos. Cada conjunto de propuestas consta de dos o más propuestas
predefinidas. El servidor selecciona una propuesta predefinida del conjunto y la inserta en el cliente en la
configuración del cliente. El cliente utiliza esta propuesta en las negociaciones con el servidor para
establecer la conexión.
Los valores predeterminados para el tiempo de regeneración de claves de ICR e IPsec de Asociación de
seguridad (SA) son los siguientes:
Dado que la configuración del conjunto de propuestas no permite la configuración del tiempo de espera
de la regeneración de claves, estos valores se incluyen en la configuración del cliente que se envía al
cliente en el momento de la descarga del cliente.
El servidor selecciona una propuesta predefinida del conjunto de propuestas y lo envía al cliente,
junto con el valor predeterminado de tiempo de espera de regeneración de claves.
1353
El servidor envía una propuesta ICR predefinida desde el conjunto de propuestas configuradas ICR al
cliente, junto con el valor predeterminado de tiempo de espera de regeneración de claves. Para IPsec,
el servidor envía la configuración configurada en la propuesta de IPsec.
El servidor envía una propuesta IPsec predefinida desde el conjunto de propuestas IPsec configurado
al cliente, junto con el valor predeterminado de tiempo de espera de regeneración de claves. Por ICR,
el servidor envía la configuración configurada en la propuesta de ICR.
Dado que el cliente acepta solo una propuesta para negociar el establecimiento del túnel con el servidor,
el servidor selecciona internamente una propuesta de la propuesta establecida para enviarla al cliente.
La propuesta seleccionada para cada conjunto aparece de la siguiente manera:
• Compatible con el nivel de sec: clave previamente compartida, G2, 3DES, SHA1
Para IPsec
• Básico de nivel de la SEC: esp, no pfs (si no está configurado) o grupox (si está configurado), des, sha1
• Compatible con el nivel de sec: esp, no pfs (si no está configurado) o grupox (si está configurado),
3des, sha1
• Estándar de nivel de la SEC: esp, g2 (si no está configurado) o grupox (si está configurado), aes128,
sha1
La VPN dinámica le permite proporcionar acceso a IPsec para usuarios remotos a una puerta de enlace o
Gateway en un dispositivo Juniper Networks. Esta característica es compatible con SRX300, SRX320,
SRX340, SRX345 y dispositivos de SRX550HM.
• Cuando los usuarios se configuran localmente, se configuran en el nivel de jerarquía [edit access
profile profile-name client client-name] y se client-group organizan en grupos de usuarios mediante
la opción de configuración.
El siguiente procedimiento enumera las tareas para configurar una VPN dinámica.
1. Configure un perfil XAuth para autenticar a los usuarios y asignar direcciones. Puede utilizarse
tanto la autenticación local como un servidor de RADIUS externo. Utilice la profile instrucción de
configuración en eledit accessnivel de jerarquía [] para configurar el perfil xauth.
1. Configure la Directiva de ICR. El modo debe ser agresivo. Se pueden usar conjuntos de propuestas
básicos, compatibles o estándar. Solo se admiten claves previamente compartidas para la
autenticación por fase 1. Utilice la policy instrucción de configuración en eledit security ikenivel
de jerarquía [].
Puede realizarse una comprobación de configuración para comprobar que todos los parámetros de
ICR e IPsec necesarios para la VPN dinámica se han configurado correctamente. Si la
configuración no es válida para ICR o IPsec, se mostrará un mensaje de error. Puede activar la
comprobación de configuración con set security dynamic-vpn config-check el comando.
4. Configure una directiva de seguridad para permitir el tráfico desde los clientes remotos hacia la
puerta de enlace de ICR. Utilice la policy instrucción de configuración en eledit security policies
from-zone zone to-zone zonenivel de jerarquía [].
5. Configure el tráfico de entrada de host para permitir que el tráfico específico llegue al dispositivo
desde sistemas conectados a sus interfaces. Por ejemplo, debe permitirse el tráfico de ICR y
HTTPS. Consulte Descripción de cómo controlar el tráfico entrante basándose en los tipos de
tráfico.
6. Adicional Si el grupo de direcciones del cliente pertenece a una subred que está conectada
directamente al dispositivo, sería necesario que el dispositivo respondiera a las solicitudes ARP de
direcciones del grupo de otros dispositivos de la misma zona. Utilice la proxy-arp instrucción de
configuración en eledit security natnivel de jerarquía []. Especifique la interfaz que conecta
directamente la subred al dispositivo y las direcciones del grupo.
1. Especifique el perfil de acceso para usar con VPN dinámico. Utilice la access-profile instrucción de
configuración en eledit security dynamic-vpnnivel de jerarquía [].
2. Configure los clientes que pueden usar la VPN dinámica. Especifique los recursos protegidos (el
tráfico hacia el recurso protegido viaja por el túnel de VPN dinámico especificado y, por lo tanto,
está protegido por las políticas de seguridad del firewall) o las excepciones a la lista de recursos
protegidos (tráfico que no viaja por el túnel de VPN dinámico y se envía con texto sin formato).
Estas opciones controlan las rutas que se envían al cliente cuando el túnel está activo,
controlando por lo tanto el tráfico que se envía a través del túnel. Utilice la clients instrucción de
configuración en eledit security dynamic-vpnnivel de jerarquía [].
4. Para registrar mensajes VPN dinámicos, configure la traceoptions instrucción enedit security
dynamic-vpnel nivel de jerarquía [].
1356
Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Una aplicación cliente puede solicitar una dirección IP en nombre de un cliente. Esta solicitud se realiza
al mismo tiempo que la solicitud de autenticación del cliente. Una vez realizada correctamente la
autenticación del cliente, puede asignarse una dirección IP al cliente desde un grupo de direcciones
predefinida o asignar una dirección IP específica. También se pueden proporcionar al cliente otros
atributos, como direcciones IP del servidor WINS o DNS.
Las agrupaciones de direcciones se pool definen con la instrucción deedit access address-
assignmentconfiguración en el nivel de jerarquía []. Una definición de conjunto de direcciones contiene
la información de red (dirección IP con máscara opcional), definiciones de rango opcionales y atributos
DHCP o XAuth que pueden devolverse al cliente. Si se asignan todas las direcciones de un grupo, se
producirá un error en una nueva solicitud de dirección del cliente incluso si el cliente se autentica
correctamente.
Los perfiles de acceso se definen profile con la instrucción de configuraciónedit accessen la jerarquía [].
Se puede hacer referencia a un grupo de direcciones definido en una configuración de Perfil de acceso.
También puede enlazar una dirección IP específica con un cliente de un perfil de acceso con xauth ip-
address address la opción. La dirección IP debe encontrarse en el intervalo de direcciones especificado
en el conjunto de direcciones. También debe ser diferente de la dirección IP especificada con la host
instrucción de configuración en el niveledit access profile address-assignment pool pool-name family
inetde jerarquía []. Para cualquier aplicación, si se le ha asignado una dirección IP, no se volverá a asignar
de nuevo hasta que no se libere.
Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Con VPN dinámico, se utiliza un identificador de Intercambio de claves por red (ICR) único para cada
conexión de usuario. Cuando hay un gran número de usuarios que necesitan tener acceso a la red
privada virtual, la configuración de una puerta de enlace de ICR individual, IPsec VPN y una directiva de
seguridad para cada usuario puede ser engorroso. Las funciones ID del ICR de grupo e ID compartidos
de ICR permiten a varios usuarios compartir una configuración ICR puerta de enlace, con lo que se
reduce el número de configuraciones VPN necesarias.
Le recomendamos que configure los identificadores de ICR de grupo para las implementaciones de VPN
dinámicas, ya que los identificadores de ICR de grupo proporcionan una clave compartida única e ID ICR
para cada usuario.
ID de ICR de grupo
Cuando se configuran identificadores de ICR de grupo, el identificador de ICR de cada usuario es una
concatenación de un elemento específico del usuario y una parte común a todos los usuarios del grupo
ICR ID. Por ejemplo, es posible que Bob utilice "Bob.example.net" como su ID de ICR completo, donde
".example.net" es común a todos los usuarios. El ID de ICR completo se utiliza para identificar de forma
exclusiva cada conexión de usuario.
Aunque los identificadores de ICR de grupo no requieren XAuth, la VPN dinámica requiere XAuth para
recuperar los atributos de red, como las direcciones IP de cliente. Aparece una advertencia si XAuth no
está configurado para una VPN dinámica que utilice identificadores de ICR de grupo.
Es recomendable que los usuarios usen las mismas credenciales para la autenticación webauth y XAuth
al configurar los identificadores de ICR de grupo.
Varios usuarios pueden utilizar el mismo ID. de ICR de grupo, pero un único usuario no puede utilizar el
mismo ID ICR de grupo para distintas conexiones. Si un usuario necesita tener conexiones de distintos
clientes remotos, deben tener configurados distintos identificadores de ICR de grupo, uno para cada
conexión. Si un usuario solo tiene configurado un grupo ICR ID e intenta una segunda conexión desde
otro PC, la primera conexión se terminará para permitir que la segunda conexión pase.
Cuando se configura un ID de ICR compartido, todos los usuarios comparten un único ID de ICR y una
sola clave previamente compartida ICR. Cada usuario se autentica a través de la fase de XAuth
obligatoria, donde las credenciales de usuarios individuales se comprueban con un servidor de RADIUS
externo o con una base de datos de acceso local. XAuth es necesario para los identificadores
compartidos de ICR.
El nombre de usuario XAuth junto con el identificador de ICR compartido configurado se utiliza para
distinguir entre las distintas conexiones de usuario. Dado que el nombre de usuario se utiliza para
identificar cada conexión de usuario, tanto el nombre de usuario de webauth como el nombre de usuario
XAuth deben ser idénticos.
1358
Varios usuarios pueden usar el mismo ID. de ICR compartido, pero un único usuario no puede utilizar el
mismo ID. de ICR compartido para distintas conexiones. Si un usuario necesita tener conexiones de
distintos clientes remotos, deben tener configurados distintos identificadores de ICR, uno para cada
conexión. Si un usuario solo tiene configurado un identificador de ICR compartido e intenta una segunda
conexión desde otro cliente, la primera conexión se terminará para permitir que la segunda conexión
pase. Además, dado que el nombre de usuario es necesario para identificar cada conexión de usuario
junto con el ID ICR, el usuario debe usar las mismas credenciales para la autenticación webauth y XAuth.
in this section
Aplicables | 1358
Automática | 1363
Comproba | 1371
En este ejemplo se muestra cómo configurar una VPN dinámica en un dispositivo Juniper Networks para
proporcionar acceso VPN a los clientes remotos. Esta característica es compatible con SRX300, SRX320,
SRX340, SRX345 y dispositivos de SRX550HM.
Aplicables
Antes de empezar:
1359
1. Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para los
dispositivos de seguridad.
3. Si hay más de dos conexiones simultáneas de usuario, instale una licencia de VPN dinámica en el
dispositivo. Consulte la Guía de instalación y actualización del software.
Descripción general
Un escenario de implementación común para VPN dinámica es proporcionar acceso VPN a los clientes
remotos que se conectan a través de una red pública, como Internet. Se asigna una dirección IP pública a
una de las interfaces de la puerta de enlace; esta interfaz normalmente forma parte de la zona de no
confianza. Después de instalar el software cliente, el usuario remoto puede tener acceso a la VPN
iniciando sesión en el portal web o iniciando directamente el cliente. En cualquier caso, el cliente remoto
se autentica con el dispositivo de serie SRX y descarga la configuración más reciente disponible.
1360
A continuación, se utilizan conjuntos de propuestas estándar para las negociaciones de ICR e IPsec. Para
túneles de VPN dinámicos, se debe configurar el modo agresivo y solo se admiten claves previamente
compartidas para la autenticación por fase 1. Se utiliza un identificador de ICR de grupo y el número
máximo de conexiones se establece en 10. Dado que las VPN dinámicas deben ser VPN basadas en
políticas, debe configurarse una directiva de seguridad para reenviar el tráfico al túnel. Se debe permitir
el tráfico de ICR y HTTPS para el tráfico entrante del host.Consulte Tabla 97 en la página 1361la.
Por último, se especifica el perfil XAuth configurado para clientes remotos para la VPN dinámica. Los
usuarios remotos se asocian con la VPN de IPsec configurada. También se configuran los recursos
protegidos de forma remota (las direcciones de destino del tráfico que se envía siempre a través del
1361
túnel) y las excepciones remotas (las direcciones de destino del tráfico que se envía en texto sin cifrar y
no a través del túnel). Consulte Tabla 98 en la página 1363la.
Perfil XAuth Perfil de acceso de • Nombre de usuario del cliente remoto: ' cliente1 ' con
DIN-VPN contraseña $ABC 123
Tráfico entrante del Permita los siguientes tipos de tráfico para la interfaz
host GE-0/0/15.0 en la zona que no es de confianza:
• ICR
• PROTOCOLOS
• haciendo
Perfil de acceso para Referencia del perfil de acceso: Perfil de acceso de DIN-VPN
clientes remotos
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit access]
user@host# set profile dyn-vpn-access-profile client client1 firewall-user password "$ABC123"
user@host# set profile dyn-vpn-access-profile client client2 firewall-user password "$ABC456"
user@host# set profile dyn-vpn-access-profile address-assignment pool dyn-vpn-address-pool
1365
Resultados
Desde el modo de configuración, escriba el show access comando para confirmar la configuración. Si el
resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo
para corregirlo.
[edit]
user@host# show access
profile dyn-vpn-access-profile {
client client1 {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client client2 {
firewall-user {
password "$ABC456"; ## SECRET-DATA
}
}
address-assignment {
pool dyn-vpn-address-pool;
}
}
address-assignment {
pool dyn-vpn-address-pool {
family inet {
network 10.10.10.0/24;
xauth-attributes {
primary-dns 192.02.1/32;
}
}
}
}
firewall-authentication {
web-authentication {
1366
default-profile dyn-vpn-access-profile;
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
[edit]
set security ike policy ike-dyn-vpn-policy mode aggressive
set security ike policy ike-dyn-vpn-policy proposal-set standard
set security ike policy ike-dyn-vpn-policy pre-shared-key ascii-text "$ABC789"
set security ike gateway dyn-vpn-local-gw ike-policy ike-dyn-vpn-policy
set security ike gateway dyn-vpn-local-gw dynamic hostname dynvpn
set security ike gateway dyn-vpn-local-gw dynamic connections-limit 10
set security ike gateway dyn-vpn-local-gw dynamic ike-user-type group-ike-id
set security ike gateway dyn-vpn-local-gw external-interface ge-0/0/15.0
set security ike gateway dyn-vpn-local-gw aaa access-profile dyn-vpn-access-profile
set security ipsec policy ipsec-dyn-vpn-policy proposal-set standard
set security ipsec vpn dyn-vpn ike gateway dyn-vpn-local-gw
set security ipsec vpn dyn-vpn ike ipsec-policy ipsec-dyn-vpn-policy
set security policies from-zone untrust to-zone trust policy dyn-vpn-policy match source-address any
set security policies from-zone untrust to-zone trust policy dyn-vpn-policy match destination-address any
set security policies from-zone untrust to-zone trust policy dyn-vpn-policy match application any
set security policies from-zone untrust to-zone trust policy dyn-vpn-policy then permit tunnel ipsec-vpn dyn-
vpn
set security zones security-zone untrust interfaces ge-0/0/15.0 host-inbound-traffic system-services ike
set security zones security-zone untrust interfaces ge-0/0/15.0 host-inbound-traffic system-services https
set security zones security-zone untrust interfaces ge-0/0/15.0 host-inbound-traffic system-services ping
1367
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
3. Configure IPsec.
Resultados
Desde el modo de configuración, para confirmar la configuración show security ike, show security
ipsecescriba show security policieslos comandos show security zones ,, y. Si el resultado no muestra la
configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ike
policy ike-dyn-vpn-policy {
mode aggressive;
proposal-set standard;
pre-shared-key ascii-text "$ABC789"; ## SECRET-DATA
}
gateway dyn-vpn-local-gw {
ike-policy ike-dyn-vpn-policy;
dynamic {
hostname dynvpn;
connections-limit 10;
ike-user-type group-ike-id;
}
external-interface ge-0/0/15.0;
aaa access-profile dyn-vpn-access-profile;
}
[edit]
user@host# show security ipsec
policy ipsec-dyn-vpn-policy {
proposal-set standard;
}
vpn dyn-vpn {
ike {
gateway dyn-vpn-local-gw;
1369
ipsec-policy ipsec-dyn-vpn-policy;
}
}
[edit]
user@host# show security policies
from-zone untrust to-zone trust {
policy dyn-vpn-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn dyn-vpn;
}
}
}
}
[edit]
user@host# show security zones
security-zone untrust {
interfaces {
ge-0/0/15.0 {
host-inbound-traffic {
system-services {
ike;
https;
ping;
}
}
}
}
}
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para asociar la red privada virtual (VPN) dinámica con clientes remotos:
Resultados
Desde el modo de configuración, escriba el show security dynamic-vpn comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security dynamic-vpn
access-profile dyn-vpn-access-profile;
clients {
all {
remote-protected-resources {
10.0.0.0/8;
}
remote-exceptions {
0.0.0.0/0;
}
ipsec-vpn dyn-vpn;
user {
client1;
client2;
}
}
}
Comproba
in this section
Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para
supervisar los túneles VPN de IPsec tradicionales. Para confirmar que la configuración funciona
correctamente, realice estas tareas:
Purpose
Intervención
Purpose
Compruebe que los clientes remotos y las direcciones IP que tienen asignadas están utilizando XAuth.
Intervención
Purpose
Intervención
Purpose
Intervención
SEE ALSO
in this section
Aplicables | 1374
Automática | 1375
Comproba | 1377
En este ejemplo se muestra cómo crear una agrupación de direcciones y cómo asignar direcciones IP de
cliente en un perfil de acceso. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345
y dispositivos de SRX550HM.
Aplicables
Antes de comenzar, configure los servidores DNS y WINS primarios y secundarios, y asígneles
direcciones IP.
Descripción general
En este ejemplo, se crea xauth1 una agrupación de direcciones que consta de las direcciones IP de la
subred 192.0.2.0/24. El xauth1 grupo también asigna direcciones IP para los servidores DNS y WINS
principales y secundarios.
El perfil dvpn-auth de acceso hace referencia al grupo de xauth1. El dvpn-auth Perfil de acceso
configura dos clientes:
• Jason La dirección IP 192.0.2.1 está enlazada a este cliente. Una vez realizada correctamente la
autenticación, al cliente se le asigna la dirección IP 192.0.2.1. Si el cliente vuelve a iniciar sesión antes
de cerrar la sesión, se asigna una dirección IP al cliente desde el grupo xauth1.
• jacky: Una vez realizada correctamente la autenticación, se asigna una dirección IP al cliente desde el
grupo xauth1.
1375
Además, el perfil dvpn-auth de acceso especifica que la autenticación de contraseña se utiliza para
comprobar clientes en el inicio de sesión. Se pueden especificar métodos de autenticación adicionales; el
software prueba los métodos de autenticación por orden, desde el primero al último, por cada intento de
inicio de sesión del cliente.
Automática
in this section
Modalidades | 1375
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
Para configurar un conjunto de direcciones y un perfil de acceso que utiliza la agrupación de direcciones:
1376
[edit access]
user@host# set profile dvpn-auth address-assignment pool xauth1
user@host# set profile dvpn-auth authentication-order password
user@host# set profile dvpn-auth client jason xauth ip-address 192.0.2.1
user@host# set profile dvpn-auth client jason firewall-user password jason
user@host# set profile dvpn-auth client jacky firewall-user password jacky
Resultados
Desde el modo de configuración, escriba el show access comando para confirmar la configuración. Si el
resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo
para corregirlo.
[edit]
user@host# show access
profile dvpn-auth {
authentication-order password;
client jacky {
firewall-user {
password "$ABC123"; ## SECRET-DATA
}
}
client jason {
xauth {
ip-address 192.0.2.1/32;
}
firewall-user {
password "$ABC456"; ## SECRET-DATA
}
}
address-assignment {
1377
pool xauth1;
}
}
address-assignment {
pool xauth1 {
family inet {
network 192.0.2.0/24;
xauth-attributes {
primary-dns 192.0.2.250/32;
secondary-dns 192.0.2.251/32;
primary-wins 192.0.2.253/32;
secondary-wins 192.0.2.254/32;
}
}
}
}
Comproba
in this section
Purpose
Compruebe la asignación de direcciones. Para XAuth, la dirección de hardware siempre se muestra como
NA. Si se asigna una dirección IP estática a un usuario específico, el nombre de usuario y el nombre del
perfil (con el formato user@profile) se mostrarán en la columna "host/usuario". Si a un cliente se le asigna
una dirección IP del grupo, se mostrará el nombre del usuario; Si el nombre de usuario no existe, se
muestra NA. Para otras aplicaciones (por ejemplo, DHCP), el nombre de host se muestra si está
configurado; Si el nombre de host no está configurado, se muestra NA.
1378
Intervención
user
in this section
Aplicables | 1378
Automática | 1381
Comproba | 1387
En este ejemplo se muestra cómo configurar un grupo ICR identificador utilizado por varios usuarios.
Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Aplicables
Antes de empezar:
• Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para los
dispositivos de seguridad.
• Si hay más de dos conexiones simultáneas de usuario, instale una licencia de VPN dinámica en el
dispositivo. Consulte la Guía de instalación y actualización del software.
1379
Descripción general
En este ejemplo, se configuran dos usuarios vpn dinámicos remotos que utilizan un id. de ICR único y
ICR clave previamente compartida (consulte Tabla 99 en la página 1379 y Tabla 100 en la página 1380 ).
Se utiliza un servidor de RADIUS externo para autenticar a los usuarios y asignar direcciones IP a Tabla
101 en la página 1381los clientes (consulte).
• Propuesta: compatible
Tráfico entrante del Permita los siguientes tipos de tráfico para la interfaz
host GE-0/0/0,0 en la zona de no confianza:
• ICR
• PROTOCOLOS
• haciendo
• SSH
Tabla 100: ID ICR de grupo configuración dinámica de VPN para clientes remotos
Tabla 101: Autenticación de usuario del servidor RADIUS (ID. de ICR de grupo)
Automática
in this section
Modalidades | 1381
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit access]
user@host# set profile radius-profile authentication-order radius
user@host# set profile radius-profile radius-server 10.100.100.250 secret “$ABC123”
user@host# set firewall-authentication web-authentication default-profile radius-profile
1383
4. Configure IPsec.
Resultados
Desde el modo de configuración show security ike, especifique los comandos, show security ipsec,
show security policiesshow security zones, y show security dynamic-vpn para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show access
profile radius-profile {
authentication-order radius;
radius-server {
10.100.100.250 secret "$ABC123"; ## SECRET-DATA
}
}
firewall-authentication {
web-authentication {
default-profile radius-profile;
}
}
1385
[edit]
user@host# show security ike
ike {
policy clientpol-group {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text
"$ABC456"; ## SECRET-DATA
}
gateway groupgw {
ike-policy clientpol-group;
dynamic {
hostname example.net;
connections-limit 50;
ike-user-type group-ike-id;
}
external-interface ge-0/0/0.0;
aaa access-profile radius-profile;
}
}
[edit]
user@host# show security ipsec
ipsec {
policy client1vpnPol {
proposal-set compatible;
}
vpn groupvpn {
ike {
gateway groupgw;
ipsec-policy client1vpnPol;
}
}
}
[edit]
user@host# show security policies
from-zone untrust to-zone trust {
policy group-sec-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
1386
permit {
tunnel {
ipsec-vpn groupvpn;
}
}
}
}
}
}
[edit]
user@host# show security zones
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ike;
https;
ping;
ssh;
}
}
}
}
}
[edit]
user@host# show security dynamic-vpn
dynamic-vpn {
access-profile radius-profile;
clients {
groupcfg {
remote-protected-resources {
10.100.100.0/24;
}
remote-exceptions {
0.0.0.0/0;
192.0.2.1/24;
0.0.0.0/32;
}
ipsec-vpn groupvpn;
user {
chris;
derek;
1387
}
}
}
}
Comproba
in this section
Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para
supervisar los túneles VPN de IPsec tradicionales. Para confirmar que la configuración funciona
correctamente, realice estas tareas:
Purpose
Intervención
Purpose
Compruebe que los clientes remotos y las direcciones IP que tienen asignadas están utilizando XAuth.
1388
Intervención
Purpose
Intervención
Purpose
Intervención
in this section
Aplicables | 1389
Automática | 1393
Comproba | 1404
1389
En este ejemplo se muestra cómo configurar los identificadores de ICR individuales para varios usuarios.
Esta característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Cuando hay un gran número de usuarios que necesitan tener acceso a la red privada virtual, la
configuración de una puerta de enlace de ICR individual, IPsec VPN y una directiva de seguridad para
cada usuario puede ser engorroso. La función ID del ICR de grupo permite a varios usuarios compartir
una configuración de puerta de enlace ICR, lo que reduce el número de configuraciones VPN necesarias.
Aplicables
Antes de empezar:
• Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para los
dispositivos de seguridad.
• Si hay más de dos conexiones simultáneas de usuario, instale una licencia de VPN dinámica en el
dispositivo. Consulte la Guía de instalación y actualización del software.
Descripción general
En el ejemplo siguiente se muestra la configuración de dos usuarios remotos de VPN dinámicos. Para
cada usuario, se debe configurar una directiva de ICR y puerta de enlace, así como la directiva IPsec y
VPN, Tabla 102 en la página 1389 y Tabla 103 en la página 1391una directiva de seguridad (consulte y).
Se utiliza un servidor de RADIUS externo para autenticar a los usuarios y asignar direcciones IP a Tabla
104 en la página 1393los clientes (consulte).
• Propuesta: compatible
• aplicación cualquier
Tráfico entrante del host Permita los siguientes tipos de tráfico para la interfaz
GE-0/0/0,0 en la zona de no confianza:
• ICR
• PROTOCOLOS
• haciendo
• SSH
• Propuesta: compatible
• aplicación cualquier
Tráfico entrante del host Permita los siguientes tipos de tráfico para la interfaz
GE-0/0/0,0 en la zona de no confianza:
• ICR
• PROTOCOLOS
• haciendo
• SSH
Tabla 104: Autenticación de usuario del servidor RADIUS (ID. individual de ICR)
Automática
in this section
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
[edit access]
user@host# set profile radius-profile authentication-order radius
user@host# set profile radius-profile radius-server 10.100.100.250 secret “$ABC123”
[edit access]
user@host# set firewall-authentication web-authentication default-profile radius-profile
Resultados
Desde el modo de configuración, escriba el show access comando para confirmar la configuración. Si el
resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo
para corregirlo.
[edit]
user@host# show access
profile radius-profile {
authentication-order radius;
radius-server {
10.100.100.250 secret "$ABC123"; ## SECRET-DATA
}
}
firewall-authentication {
web-authentication {
default-profile radius-profile;
}
}
Configurar el cliente 1
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
3. Configure IPsec.
Resultados
Desde el modo de configuración show security ike, especifique los comandos, show security ipsec,
show security policiesshow security zones, y show security dynamic-vpn para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ike
policy client1pol {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text "$ABC456"; ## SECRET-DATA
}
gateway client1gw {
1398
ike-policy client1pol;
dynamic hostname example.net;
external-interface ge-0/0/0.0;
aaa access-profile radius-profile;
}
{edit]
user@host# show security ipsec
policy client1vpnPol {
proposal-set compatible;
}
vpn client1vpn {
ike {
gateway client1gw;
ipsec-policy client1vpnPol;
}
}
{edit]
user@host# show security policies
from-zone untrust to-zone trust {
policy client1-sec-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn client1vpn;
}
}
}
}
}
{edit]
user@host# show security zones
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ike;
https;
1399
ping;
ssh;
}
}
}
}
}
{edit]
user@host# show security dynamic-vpn
access-profile radius-profile;
clients {
cfg1 {
remote-protected-resources {
10.100.100.0/24;
}
remote-exceptions {
0.0.0.0/0;
192.0.2.1/24;
0.0.0.0/32;
}
ipsec-vpn client1vpn;
user {
derek;
}
}
}
Configurar el cliente 2
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración
en la guía del usuario de CLI.
3. Configure IPsec.
Resultados
Desde el modo de configuración show security ike, especifique los comandos, show security ipsec,
show security policiesshow security zones, y show security dynamic-vpn para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show security ike
policy client2pol {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text "$ABC789"; ## SECRET-DATA
}
gateway client2gw {
ike-policy client2pol;
dynamic hostname example.net;
external-interface ge-0/0/0.0;
aaa access-profile radius-profile;
}
[edit]
user@host# show security ipsec
policy client2vpnPol {
proposal-set compatible;
}
vpn client2vpn {
ike {
gateway client2gw;
ipsec-policy client2vpnPol;
}
}
1403
[edit]
user@host# show security policies
from-zone untrust to-zone trust {
policy client2-sec-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn client2vpn;
}
}
}
}
}
[edit]
user@host# show security zones
security-zone untrust {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ike;
https;
ping;
ssh;
}
}
}
}
}
[edit]
user@host# show security dynamic-vpn
access-profile radius-profile;
clients {
cfg2 {
remote-protected-resources {
10.100.100.0/24;
}
remote-exceptions {
1404
192.0.2.1/24;
0.0.0.0/32;
}
ipsec-vpn client2vpn;
user {
chris;
}
}
}
Comproba
in this section
Los túneles VPN dinámicos se pueden supervisar con los mismos comandos que se utilizan para
supervisar los túneles VPN de IPsec tradicionales. Para confirmar que la configuración funciona
correctamente, realice estas tareas:
Purpose
Intervención
Purpose
Compruebe que los clientes remotos y las direcciones IP que tienen asignadas están utilizando XAuth.
Intervención
Purpose
Intervención
Purpose
Intervención
VÍNCULOS RELACIONADOS
in this section
Lea este tema para obtener una descripción general sobre Juniper Secure Connect solución.
Juniper Secure Connect es una aplicación SSL-VPN basada en el cliente que le permite conectarse y
acceder de forma segura a recursos protegidos en su red. Esta aplicación cuando se combina con puertas
de enlace de servicios serie SRX ayuda a las organizaciones a lograr rápidamente una conectividad
dinámica, flexible y adaptable desde dispositivos de cualquier parte del mundo. Juniper Secure Connect
extiende la visibilidad y el cumplimiento del cliente a la nube mediante conexiones VPN seguras.
• Firewall serie SRX: sirve como punto de entrada y salida para la comunicación entre los usuarios con
Juniper Secure Connect y los recursos protegidos en la red corporativa o en la nube.
• Juniper Secure Connect: protege la conectividad entre los clientes host que ejecutan Microsoft
Windows, Apple macOS y los sistemas operativos Google Android y los recursos protegidos. Juniper
Secure Connect aplicación se conecta a través de un túnel VPN al firewall serie SRX para obtener
acceso a los recursos protegidos de la red.
1407
Figura 74 en la página 1407 muestra la solución de Juniper Secure Connect de acceso remoto para
establecer una conectividad VPN segura para usuarios remotos en diferentes ubicaciones.
Función Descripción
Inicio de sesión anterior al Permite que los usuarios inicien sesión en el sistema Windows local
dominio de Windows mediante un túnel VPN ya establecido (mediante El inicio de sesión
previo a Windows), de manera que se autentificara en el dominio
central de Windows o Active Directory.
Compatibilidad con la Valida automáticamente que la política más actual está disponible
configuración antes de establecer la conexión.
Función Descripción
Juniper Secure Connect Las licencias están disponibles en modelos de suscripción de 1 año y
licencia 3 años.
• Administración sencilla de clientes remotos, políticas y eventos VPN desde una sola consola
(mediante J-Web)
WHAT'S NEXT
Recomendamos que utilice el asistente de J-Web para Juniper Secure Connect configuración. Para
obtener más información sobre cómo configurar Juniper Secure Connect, consulte Juniper Secure
Connect Administrator Guide.
Consulte Juniper Secure Connect del usuario para configurar dispositivos cliente con Juniper Secure
Connect aplicación.
Consulte estas CLI de configuración relacionadas con los Juniper Secure Connect en:
"perfil predeterminado," | 1560inicio de sesión en "windows," | 1749"certificado," |
1542traceopciones,"perfil," | 1668opciones "globales," | 1592"client-config" | 1547y "acceso
remoto." | 1689
VÍNCULOS RELACIONADOS
Descripción general
1409
Supervisión de VPN
in this section
Ejemplo Configuración de una alerta sonora como notificación de una alarma de seguridad | 1420
El monitorado VPN le permite determinar la posibilidad de acceso de los dispositivos del mismo nivel
mediante el envío de solicitudes ICMP (Protocolo de mensajes de control de Internet) a los
interlocutores.
Configure el siguiente comando para activar el registro de sucesos de seguridad durante la configuración
inicial del dispositivo. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM y dispositivos e instancias de SRX1500 vSRX.
Los administradores (Auditing, Cryptographic, IDS y Security) no pueden modificar la configuración del
registro de sucesos de seguridad si el comando anterior está configurado y cada rol de administrador
está configurado para tener un conjunto distinto y único de privilegios, aparte del resto funciones
administrativas.
Las alarmas se activan por un error de VPN. Una alarma de VPN se genera cuando el sistema supervisa
cualquiera de los siguientes eventos auditados:
• Authentication failures: puede configurar el dispositivo para que genere una alarma del sistema
cuando los errores de autenticación de paquetes alcancen un número especificado.
• Encryption and decryption failures: puede configurar el dispositivo para que genere una alarma del
sistema cuando los errores de cifrado o descifrado superen un número especificado.
1412
• IKE Phase 1 and IKE Phase 2 failures— Intercambio de claves por red (ICR) Se utilizan negociaciones
de fase 1 para establecer asociaciones ICR seguridad (AS). Estas SA protegen las ICR las
negociaciones de la fase 2. Puede configurar el dispositivo para generar una alarma del sistema
cuando ICR errores de fase 1 o ICR fase 2 superan un número especificado.
• Self-test failures: las pruebas automáticas son pruebas de que un dispositivo se ejecuta al encendido
o al reinicio para comprobar si el software de seguridad está implementado correctamente en su
dispositivo.
Las pruebas automáticas garantizan la corrección de los algoritmos criptográficos. La imagen Junos-
FIPS realiza pruebas automáticas automáticamente durante el encendido y continuamente para la
generación de pares de claves. En las imágenes nacionales o FIPS, las pruebas automáticas pueden
configurarse para que se realice según una programación definida, a pedido o inmediatamente
después de la generación de la clave.
Puede configurar el dispositivo para que genere una alarma de sistema cuando se produzca un fallo
de autocomprobación.
• IDP flow policy attacks: una política de detección y prevención de intrusiones (DPI) le permite aplicar
varias técnicas de detección y prevención de ataques en el tráfico de red. Puede configurar el
dispositivo para que genere una alarma de sistema cuando se produzcan infracciones de políticas de
flujo de IDP.
• Replay attacks: un ataque de reproducción es un ataque de red en el que una transmisión de datos
válida se vuelve a repetir o retrasar de forma maliciosa o fraudulenta. Puede configurar el dispositivo
para que genere una alarma de sistema cuando se produzca un ataque de reproducción.
• Firma fallida
• Error de ICR
Las alarmas se generan según los mensajes syslog. Todos los fallos se registran, pero sólo se genera una
alarma cuando se alcanza un umbral.
Para ver la información de la alarma, show security alarms ejecute el comando. El recuento de
infracciones y la alarma no persisten entre los reinicios del sistema. Después de un reinicio, el recuento
de infracciones se restablece en cero y la alarma se borra de la cola de alarma.
Después de haber tomado las medidas adecuadas, puede borrar la alarma. La alarma permanece en la
cola hasta que la borre (o hasta que reinicie el dispositivo). Para borrar la alarma, ejecute el clear security
alarms comando.
SEE ALSO
in this section
La supervisión de VPN utiliza solicitudes de eco ICMP (o pings) para determinar si un túnel VPN está
activo. Cuando la supervisión de VPN está habilitada, el dispositivo de seguridad envía pings a través del
túnel VPN a la puerta de enlace del mismo nivel o a un destino especificado en el otro extremo del túnel.
1414
La supervisión de VPN está habilitada para una VPN especificada vpn-monitor configurando laedit
security ipsec vpn vpn-nameopción en el nivel de jerarquía []. La dirección IP de la puerta de enlace par
es el destino predeterminado; sin embargo, puede especificar una dirección IP de destino diferente
(como un servidor) en el otro extremo del túnel. El extremo de túnel local es la interfaz de origen
predeterminada, pero puede especificar un nombre de interfaz diferente.
La opción de optimized supervisión de VPN sólo envía pings cuando hay tráfico saliente y no entra en el
túnel VPN. Si hay tráfico entrante a través del túnel VPN, el dispositivo de seguridad considera que el
túnel está activo y no envía pings a los interlocutores. La configuración optimized de la opción puede
ahorrar recursos en el dispositivo de seguridad, ya que los pings solo se envían cuando es necesario
determinar liveliness del mismo nivel. El envío de pings puede activar también vínculos de copia de
seguridad costosos que, de lo contrario, no se utilizarían.
Puede configurar el intervalo en el que se envían los pings y el número de pings consecutivos que se
envían sin respuesta antes de que se considere que la VPN está desactivada. Estos se configuran
interval con threshold las opciones y, respectivamente, enedit security ipsec vpn-monitor-optionsel
nivel de jerarquía [].
La supervisión de VPN puede ocasionar flapping de túnel en algunos entornos VPN si el par no acepta
paquetes ping en función de la dirección IP de origen o destino del paquete.
Descripción general
De forma predeterminada, el estado de las interfaces de túnel seguro (st0) configuradas en el modo
punto a punto en las VPN basadas en rutas se basa en el estado del túnel VPN. Poco después de
establecer la Asociación de IPsec, las rutas asociadas con la interfaz st0 se instalan en la tabla de reenvío
Junos OS. En ciertas topologías de red, como cuando un firewall de tránsito se encuentra entre los
extremos del túnel VPN, el Firewall de tránsito puede bloquear el tráfico de datos IPsec que usa rutas
activas para un túnel VPN establecido en la interfaz st0. Esto puede ocasionar la pérdida del tráfico.
Cuando se habilita la comprobación de la ruta de acceso de IPsec, la interfaz st0 no se abre ni activa
hasta que se comprueba la ruta de acceso. La comprobación se configura con la set security ipsec vpn
vpn-name vpn-monitor verify-path instrucción para túneles VPN de extremo dinámico, sitio a sitio y
basado en la ruta.
1415
Si hay una TDR dispositivo delante del extremo del túnel del mismo nivel, la dirección IP del extremo del
túnel del mismo nivel se traducirá a la dirección IP del dispositivo TDR. Para que la solicitud ICMP del
monitor VPN alcance el extremo del túnel del mismo nivel, debe especificar explícitamente la dirección
IP original no traducida del extremo del túnel del mismo nivel detrás del dispositivo de TDR. Se
configura con la set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip configuración.
A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se utiliza
para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en marcha la interfaz.
Utilice la set security ipsec vpn vpn-name vpn-monitor verify-path packet-size configuración. El tamaño
del paquete configurable oscila entre 64 y 1350 bytes; el valor predeterminado es 64 bytes.
ADVERTENCIAS
La interfaz de origen y las direcciones IP de destino que se pueden configurar para el funcionamiento del
monitor de VPN no afectan a la comprobación de la ruta de acceso de los IPsec. El origen de las
solicitudes ICMP en la comprobación de la ruta de acceso de IPsec es el extremo del túnel local.
Si se produce una conmutación por error del clúster del chasis durante la comprobación de la ruta de la
variable de IPsec, el nuevo nodo activo vuelve a iniciar la comprobación. La interfaz st0 no se activa
hasta que la comprobación se realiza correctamente.
No se realiza ninguna comprobación de la ruta de acceso a IPsec para las claves de IPsec SA, ya que el
estado de la interfaz st0 no cambia para las claves.
Puede supervisar y mantener el funcionamiento eficiente de su VPN con las siguientes características de
VPN globales:
• SPI: los pares de una asociación de seguridad (SA) pueden quedar sin sincronización cuando uno de
los pares falla. Por ejemplo, si uno de los interlocutores se reinicia, podría enviar un índice incorrecto
de parámetros de seguridad (SPI). Puede habilitar el dispositivo para detectar un evento de este tipo
y volver a sincronizar los elementos del mismo nivel mediante la configuración de la característica de
respuesta SPI dañados.
1416
• Supervisión de VPN: puede utilizar la función global de supervisión de VPN para enviar
periódicamente solicitudes del Protocolo de mensajes de control de Internet (ICMP) al par para
determinar si el par es accesible.
La supervisión de VPN y de pares de inactivos (DPD) son características disponibles en los dispositivos
serie SRX para comprobar la disponibilidad de los dispositivos VPN del mismo nivel. En esta sección se
comparan el funcionamiento y la configuración de estas características.
El dispositivo serie SRX responde a DPD mensajes enviados por homólogos VPN, incluso si DPD no está
configurado en el dispositivo. Puede configurar el dispositivo serie SRX para que inicie mensajes DPD a
los homólogos VPN. También puede configurar la supervisión de DPD y VPN para que funcionen
simultáneamente en el mismo dispositivo serie SRX, aunque se reduzca el número de interlocutores que
se pueden supervisar con cualquiera de los dos métodos.
DPD es una implementación de RFC 3706, un método basado en tráfico para detectar pares Intercambio
de claves por red muertos (ICR). Funciona en el nivel ICR y supervisa al sistema del mismo nivel
basándose en las actividades de tráfico de IPsec y ICR.
DPD se configura en una puerta de enlace ICR individual dead-peer-detection con la instrucción enedit
security ike gateway gateway-nameel nivel de jerarquía []. Puede configurar modos de operación DPD.
El modo predeterminado (optimizado) envía mensajes DPD al interlocutor si no hay tráfico entrante ICR
o IPsec dentro de un intervalo configurado después de que el dispositivo local envíe paquetes salientes
al mismo nivel. Otras opciones configurables incluyen el intervalo con el que se envían mensajes DPD al
sistema del mismo nivel (el valor predeterminado es 10 segundos) y el número de mensajes DPD
consecutivos enviados sin recibir una respuesta antes de que el interlocutor se considere no disponible
(el valor predeterminado es cinco solicitudes consecutivas).
1417
La detección de pares de tráfico muerto (DPD) es un método que los dispositivos de red utilizan para
comprobar la existencia actual y disponibilidad de otros dispositivos de mismo nivel.
Puede utilizar DPD como alternativa a la supervisión VPN. La supervisión VPN se aplica a una VPN
individual de IPsec, mientras que DPD se configura únicamente en un contexto de puerta de enlace de
ICR individual.
Un dispositivo realiza la verificación de DPD mediante el envío de cargas de notificación ICR fase 1
cifradas (R-U-en el caso de mensajes) a un interlocutor que espera las confirmaciones de DPD (R-U-in-
ACK mensajes) desde el mismo nivel. El dispositivo envía un mensaje R-U-any solo si no ha recibido
tráfico del interlocutor durante un intervalo DPD especificado. Si el dispositivo recibe un mensaje R-U-
Outa de ACK del mismo nivel durante este intervalo, tiene en cuenta el punto de conexión del mismo
nivel. Si el dispositivo recibe tráfico en el túnel desde el interlocutor, restablece su contador de mensajes
R-U-in para ese túnel, con lo que se inicia un nuevo intervalo. Si el dispositivo no recibe un mensaje R-U-
entero de confirmación durante el intervalo, considera que el elemento del mismo nivel ha muerto.
Cuando el dispositivo cambia el estado de un dispositivo del mismo nivel a Dead (muerto), el dispositivo
quita la Asociación de seguridad (SA) de la fase 1 y todas las SA de la fase 2 para ese interlocutor.
Los siguientes modos de DPD son compatibles con los dispositivos serie SRX:
• Optimizado: los mensajes R-U-THERE se activan si no hay tráfico de ICR o IPsec entrante dentro de
un intervalo configurado después de que el dispositivo envíe paquetes de salida al par. Este es el
modo predeterminado.
• Túnel de inactividad del sondeo: los mensajes R-U-THERE se activan si no hay tráfico de ICR o IPsec
entrante o saliente dentro de un intervalo configurado. R-U: se envían periódicamente mensajes a los
interlocutores hasta que se produce la actividad de tráfico. Este modo ayuda en la detección
temprana de un sistema del mismo nivel hacia abajo y hace que el túnel esté disponible para el tráfico
de datos.
Cuando se configuran varios selectores de tráfico para una red privada virtual (VPN), se pueden
establecer varios túneles para el mismo ICR SA. En este escenario, el modo de túnel inactivo de
sondeo activa R-U: se enviarán mensajes si algún túnel asociado con el ICR SA pasa a estar inactivo,
aunque haya tráfico en otro túnel para el mismo ICR SA.
Recomendamos que se utilice el modo de túnel inactivo del sondeo always-send en lugar del modo.
Los temporizadores de DPD están activos tan pronto como se establece la SA de la fase 1. El
comportamiento DPD es el mismo para los protocolos IKEv1 y IKEv2.
• El parámetro Threshold especifica el número máximo de veces que se envía el mensaje R-U-in sin
respuesta del interlocutor antes de considerar que el homólogo está muerto. El número
predeterminado de transmisiones es cinco veces, con una gama permitida de 1 a 5 reintentos.
• Cuando se agrega una configuración DPD a una puerta de enlace existente con túneles activos, los
mensajes R-U-at se inician sin borrar las SA de la fase 1 o la fase 2.
• Cuando se elimina una configuración de DPD de una puerta de enlace existente con túneles activos,
R-U: se detienen los mensajes para los túneles. Las SA de ICR y IPsec no se verán afectadas.
• Si se modifica cualquier opción de configuración DPD, como los valores Mode, Interval o threshold,
se actualizará la operación DPD sin borrar las SA de la fase 1 o la fase 2.
• Si la puerta de enlace de ICR está configurada con DPD y la supervisión VPN, pero la opción para
establecer túneles inmediatamente no está configurada, DPD no inicia la negociación de la fase 1.
Cuando se configura DPD, la opción establecer túneles inmediatos también debe configurarse al
mismo tiempo para anular la interfaz del st0 cuando no existen SA de Phase 1 y Phase 2 disponibles.
• Si la puerta de enlace de ICR está configurada con varias direcciones IP del mismo nivel y DPD pero
la SA de la fase 1 no se puede establecer en la primera dirección IP del mismo nivel, se intenta una SA
de fase 1 con la siguiente dirección IP del mismo nivel. DPD solo está activo después de establecerse
una asociación de la fase 1.
• Si la puerta de enlace de ICR está configurada con varias direcciones IP de par y DPD, pero DPD falla
con la dirección IP del par actual, lasAS de fase 1 y fase 2 se borrarán y se activará una conmutación
por error a la dirección IP del par siguiente.
• Puede existir más de una SA Phase 1 o Phase 2 con el mismo interlocutor debido a las negociaciones
simultáneas. En este caso, R-U-en todos los mensajes se envían a todas las SA de la fase 1. Si no se
reciben respuestas DPD para el número configurado de veces consecutivas, se borrará la SA de la
fase 1 y la SA asociada de la fase 2 (solo para IKEv2).
SEE ALSO
Verify-path | 1737
1419
Cuando se produce un problema de red relacionado con una VPN, después de que el túnel sólo llega el
estado de túnel, se realiza un seguimiento de él. Muchos problemas se pueden producir antes de que se
produzca el túnel. Por lo tanto, en lugar de realizar el seguimiento únicamente del estado del túnel,
problemas de túnel o errores de negociación, ahora se realiza el seguimiento de eventos de éxito tales
como negociaciones de SA de IPsec satisfactorias, regeneración de claves IPsec y reICR regeneraciones
de SA. Estos eventos se denominan eventos de túnel.
Para la fase 1 y fase 2, se realiza un seguimiento de los eventos de negociación de un túnel dado, junto
con los eventos que se producen en daemons externos, como AUTHd o PKID. Cuando un evento de
túnel aparece varias veces, solo se mantiene una entrada con la hora actualizada y el número de veces
que se produjo el evento.
En general, se realiza un seguimiento de 16 eventos: ocho eventos para la fase 1 y ocho eventos para la
fase 2. Algunos eventos pueden reproducirse y llenar la memoria de eventos, lo que provoca que se
quiten eventos importantes. Para evitar sobrescribir, un suceso no se almacena a menos que un túnel no
esté presionado.
Los túneles AutoVPN se crean y eliminan dinámicamente y, por lo tanto, los eventos de túnel
correspondientes a estos túneles son de corta duración. A veces estos eventos de túnel no se pueden
asociar con ningún túnel, por lo que el registro del sistema se utiliza para depuración.
SEE ALSO
in this section
Aplicables | 1420
Automática | 1420
Comproba | 1421
En este ejemplo se muestra cómo configurar un dispositivo para generar un pitido de alerta del sistema
cuando se produce un nuevo evento de seguridad. De forma predeterminada, las alarmas no son
audibles. Esta característica es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM y
dispositivos e instancias de SRX1500 vSRX.
Aplicables
Antes de configurar esta característica, es necesaria una configuración especial más allá de la
inicialización del dispositivo.
Descripción general
En este ejemplo, puede establecer que se genere un pitido audible en respuesta a una alarma de
seguridad.
Automática
in this section
Modalidades | 1421
1421
Modalidades
[edit]
user@host# edit security alarms
2. Especifique que desea recibir notificaciones de alarmas de seguridad con un pitido audible.
Comproba
Para comprobar que la configuración funciona correctamente, escriba el show security alarms detail
comando.
SEE ALSO
in this section
Aplicables | 1422
Automática | 1423
Comproba | 1426
En este ejemplo se muestra cómo configurar el dispositivo para generar una alarma del sistema cuando
se produce una infracción potencial. De forma predeterminada, no se produce ninguna alarma cuando se
produce una infracción potencial. Esta característica es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM y dispositivos e instancias de SRX1500 vSRX.
Aplicables
Antes de configurar esta característica, es necesaria una configuración especial más allá de la
inicialización del dispositivo.
Descripción general
En este ejemplo, puede configurar una alarma para que se genere cuando:
Automática
in this section
Modalidades | 1423
Modalidades
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en la Junos OS CLI usuario .
[edit]
user@host# edit security alarms
1424
2. Especifica que debe producirse una alarma cuando se produzca un fallo de autenticación.
3. Especifica que debe producirse una alarma cuando se produce un error de prueba automática
criptográfica.
4. Especifica que debe producirse una alarma cuando se produce un fallo de prueba automática no
cifrada.
5. Especifica que debe producirse una alarma cuando se produce un error de la autoprueba de
generación de claves.
6. Especifica que debe producirse una alarma cuando se produce un fallo de cifrado.
7. Especifica que se debe generar una alarma cuando se produzca un fallo de descifrado.
8. Especifica que debe producirse una alarma cuando se produce un fallo ICR la fase 1.
9. Especifica que debe producirse una alarma cuando se produce un fallo ICR la fase 2.
10. Especifica que debe producirse una alarma cuando se produzca un ataque de reproducción.
Resultados
Desde el modo de configuración, escriba el show security alarms comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
potential-violation {
authentication 6;
cryptographic-self-test;
decryption-failures {
threshold 1;
}
encryption-failures {
threshold 10;
}
ike-phase1-failures {
threshold 10;
}
ike-phase2-failures {
threshold 1;
}
key-generation-self-test;
non-cryptographic-self-test;
1426
replay-attacks;
}
Comproba
Para confirmar que la configuración funciona correctamente, desde el modo de funcionamiento, escriba
show security alarms el comando.
SEE ALSO
release-history
15.1X49-D130 A partir de Junos OS Release 15.1 X49-D130, el rango de parámetros de intervalo permitido
en el que se envían los mensajes R-U-at al dispositivo del mismo nivel se reduce de 10 a 60
segundos a 2 segundos mediante 60 segundos. El parámetro de umbral mínimo debe ser 3
cuando el valor del parámetro de intervalo DPD es inferior a 10 segundos.
15.1X49-D120 A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se
utiliza para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en
marcha la interfaz.
VÍNCULOS RELACIONADOS
in this section
in this section
La supervisión de VPN utiliza solicitudes de eco ICMP (o pings) para determinar si un túnel VPN está
activo. Cuando la supervisión de VPN está habilitada, el dispositivo de seguridad envía pings a través del
túnel VPN a la puerta de enlace del mismo nivel o a un destino especificado en el otro extremo del túnel.
Los pings se envían de forma predeterminada a intervalos de 10 segundos durante 10 veces
consecutivas. Si no se recibe respuesta después de 10 pings consecutivos, la VPN se considera que está
inactiva y se borra la Asociación de seguridad IPsec (SA).
La supervisión de VPN está habilitada para una VPN especificada vpn-monitor configurando laedit
security ipsec vpn vpn-nameopción en el nivel de jerarquía []. La dirección IP de la puerta de enlace par
es el destino predeterminado; sin embargo, puede especificar una dirección IP de destino diferente
(como un servidor) en el otro extremo del túnel. El extremo de túnel local es la interfaz de origen
predeterminada, pero puede especificar un nombre de interfaz diferente.
La opción de optimized supervisión de VPN sólo envía pings cuando hay tráfico saliente y no entra en el
túnel VPN. Si hay tráfico entrante a través del túnel VPN, el dispositivo de seguridad considera que el
túnel está activo y no envía pings a los interlocutores. La configuración optimized de la opción puede
ahorrar recursos en el dispositivo de seguridad, ya que los pings solo se envían cuando es necesario
determinar liveliness del mismo nivel. El envío de pings puede activar también vínculos de copia de
seguridad costosos que, de lo contrario, no se utilizarían.
Puede configurar el intervalo en el que se envían los pings y el número de pings consecutivos que se
envían sin respuesta antes de que se considere que la VPN está desactivada. Estos se configuran
interval con threshold las opciones y, respectivamente, enedit security ipsec vpn-monitor-optionsel
nivel de jerarquía [].
La supervisión de VPN puede ocasionar flapping de túnel en algunos entornos VPN si el par no acepta
paquetes ping en función de la dirección IP de origen o destino del paquete.
Descripción general
De forma predeterminada, el estado de las interfaces de túnel seguro (st0) configuradas en el modo
punto a punto en las VPN basadas en rutas se basa en el estado del túnel VPN. Poco después de
establecer la Asociación de IPsec, las rutas asociadas con la interfaz st0 se instalan en la tabla de reenvío
Junos OS. En ciertas topologías de red, como cuando un firewall de tránsito se encuentra entre los
extremos del túnel VPN, el Firewall de tránsito puede bloquear el tráfico de datos IPsec que usa rutas
activas para un túnel VPN establecido en la interfaz st0. Esto puede ocasionar la pérdida del tráfico.
Cuando se habilita la comprobación de la ruta de acceso de IPsec, la interfaz st0 no se abre ni activa
hasta que se comprueba la ruta de acceso. La comprobación se configura con la set security ipsec vpn
vpn-name vpn-monitor verify-path instrucción para túneles VPN de extremo dinámico, sitio a sitio y
basado en la ruta.
Si hay una TDR dispositivo delante del extremo del túnel del mismo nivel, la dirección IP del extremo del
túnel del mismo nivel se traducirá a la dirección IP del dispositivo TDR. Para que la solicitud ICMP del
monitor VPN alcance el extremo del túnel del mismo nivel, debe especificar explícitamente la dirección
IP original no traducida del extremo del túnel del mismo nivel detrás del dispositivo de TDR. Se
configura con la set security ipsec vpn vpn-name vpn-monitor verify-path destination-ip configuración.
A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se utiliza
para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en marcha la interfaz.
Utilice la set security ipsec vpn vpn-name vpn-monitor verify-path packet-size configuración. El tamaño
del paquete configurable oscila entre 64 y 1350 bytes; el valor predeterminado es 64 bytes.
1429
ADVERTENCIAS
La interfaz de origen y las direcciones IP de destino que se pueden configurar para el funcionamiento del
monitor de VPN no afectan a la comprobación de la ruta de acceso de los IPsec. El origen de las
solicitudes ICMP en la comprobación de la ruta de acceso de IPsec es el extremo del túnel local.
Si se produce una conmutación por error del clúster del chasis durante la comprobación de la ruta de la
variable de IPsec, el nuevo nodo activo vuelve a iniciar la comprobación. La interfaz st0 no se activa
hasta que la comprobación se realiza correctamente.
No se realiza ninguna comprobación de la ruta de acceso a IPsec para las claves de IPsec SA, ya que el
estado de la interfaz st0 no cambia para las claves.
Puede supervisar y mantener el funcionamiento eficiente de su VPN con las siguientes características de
VPN globales:
• SPI: los pares de una asociación de seguridad (SA) pueden quedar sin sincronización cuando uno de
los pares falla. Por ejemplo, si uno de los interlocutores se reinicia, podría enviar un índice incorrecto
de parámetros de seguridad (SPI). Puede habilitar el dispositivo para detectar un evento de este tipo
y volver a sincronizar los elementos del mismo nivel mediante la configuración de la característica de
respuesta SPI dañados.
• Supervisión de VPN: puede utilizar la función global de supervisión de VPN para enviar
periódicamente solicitudes del Protocolo de mensajes de control de Internet (ICMP) al par para
determinar si el par es accesible.
La supervisión de VPN y de pares de inactivos (DPD) son características disponibles en los dispositivos
serie SRX para comprobar la disponibilidad de los dispositivos VPN del mismo nivel. En esta sección se
comparan el funcionamiento y la configuración de estas características.
1430
El dispositivo serie SRX responde a DPD mensajes enviados por homólogos VPN, incluso si DPD no está
configurado en el dispositivo. Puede configurar el dispositivo serie SRX para que inicie mensajes DPD a
los homólogos VPN. También puede configurar la supervisión de DPD y VPN para que funcionen
simultáneamente en el mismo dispositivo serie SRX, aunque se reduzca el número de interlocutores que
se pueden supervisar con cualquiera de los dos métodos.
DPD es una implementación de RFC 3706, un método basado en tráfico para detectar pares Intercambio
de claves por red muertos (ICR). Funciona en el nivel ICR y supervisa al sistema del mismo nivel
basándose en las actividades de tráfico de IPsec y ICR.
DPD se configura en una puerta de enlace ICR individual dead-peer-detection con la instrucción enedit
security ike gateway gateway-nameel nivel de jerarquía []. Puede configurar modos de operación DPD.
El modo predeterminado (optimizado) envía mensajes DPD al interlocutor si no hay tráfico entrante ICR
o IPsec dentro de un intervalo configurado después de que el dispositivo local envíe paquetes salientes
al mismo nivel. Otras opciones configurables incluyen el intervalo con el que se envían mensajes DPD al
sistema del mismo nivel (el valor predeterminado es 10 segundos) y el número de mensajes DPD
consecutivos enviados sin recibir una respuesta antes de que el interlocutor se considere no disponible
(el valor predeterminado es cinco solicitudes consecutivas).
La detección de pares de tráfico muerto (DPD) es un método que los dispositivos de red utilizan para
comprobar la existencia actual y disponibilidad de otros dispositivos de mismo nivel.
Puede utilizar DPD como alternativa a la supervisión VPN. La supervisión VPN se aplica a una VPN
individual de IPsec, mientras que DPD se configura únicamente en un contexto de puerta de enlace de
ICR individual.
Un dispositivo realiza la verificación de DPD mediante el envío de cargas de notificación ICR fase 1
cifradas (R-U-en el caso de mensajes) a un interlocutor que espera las confirmaciones de DPD (R-U-in-
ACK mensajes) desde el mismo nivel. El dispositivo envía un mensaje R-U-any solo si no ha recibido
tráfico del interlocutor durante un intervalo DPD especificado. Si el dispositivo recibe un mensaje R-U-
1431
Outa de ACK del mismo nivel durante este intervalo, tiene en cuenta el punto de conexión del mismo
nivel. Si el dispositivo recibe tráfico en el túnel desde el interlocutor, restablece su contador de mensajes
R-U-in para ese túnel, con lo que se inicia un nuevo intervalo. Si el dispositivo no recibe un mensaje R-U-
entero de confirmación durante el intervalo, considera que el elemento del mismo nivel ha muerto.
Cuando el dispositivo cambia el estado de un dispositivo del mismo nivel a Dead (muerto), el dispositivo
quita la Asociación de seguridad (SA) de la fase 1 y todas las SA de la fase 2 para ese interlocutor.
Los siguientes modos de DPD son compatibles con los dispositivos serie SRX:
• Optimizado: los mensajes R-U-THERE se activan si no hay tráfico de ICR o IPsec entrante dentro de
un intervalo configurado después de que el dispositivo envíe paquetes de salida al par. Este es el
modo predeterminado.
• Túnel de inactividad del sondeo: los mensajes R-U-THERE se activan si no hay tráfico de ICR o IPsec
entrante o saliente dentro de un intervalo configurado. R-U: se envían periódicamente mensajes a los
interlocutores hasta que se produce la actividad de tráfico. Este modo ayuda en la detección
temprana de un sistema del mismo nivel hacia abajo y hace que el túnel esté disponible para el tráfico
de datos.
Cuando se configuran varios selectores de tráfico para una red privada virtual (VPN), se pueden
establecer varios túneles para el mismo ICR SA. En este escenario, el modo de túnel inactivo de
sondeo activa R-U: se enviarán mensajes si algún túnel asociado con el ICR SA pasa a estar inactivo,
aunque haya tráfico en otro túnel para el mismo ICR SA.
Recomendamos que se utilice el modo de túnel inactivo del sondeo always-send en lugar del modo.
Los temporizadores de DPD están activos tan pronto como se establece la SA de la fase 1. El
comportamiento DPD es el mismo para los protocolos IKEv1 y IKEv2.
• El parámetro Threshold especifica el número máximo de veces que se envía el mensaje R-U-in sin
respuesta del interlocutor antes de considerar que el homólogo está muerto. El número
predeterminado de transmisiones es cinco veces, con una gama permitida de 1 a 5 reintentos.
• Cuando se agrega una configuración DPD a una puerta de enlace existente con túneles activos, los
mensajes R-U-at se inician sin borrar las SA de la fase 1 o la fase 2.
• Cuando se elimina una configuración de DPD de una puerta de enlace existente con túneles activos,
R-U: se detienen los mensajes para los túneles. Las SA de ICR y IPsec no se verán afectadas.
• Si se modifica cualquier opción de configuración DPD, como los valores Mode, Interval o threshold,
se actualizará la operación DPD sin borrar las SA de la fase 1 o la fase 2.
• Si la puerta de enlace de ICR está configurada con DPD y la supervisión VPN, pero la opción para
establecer túneles inmediatamente no está configurada, DPD no inicia la negociación de la fase 1.
Cuando se configura DPD, la opción establecer túneles inmediatos también debe configurarse al
mismo tiempo para anular la interfaz del st0 cuando no existen SA de Phase 1 y Phase 2 disponibles.
• Si la puerta de enlace de ICR está configurada con varias direcciones IP del mismo nivel y DPD pero
la SA de la fase 1 no se puede establecer en la primera dirección IP del mismo nivel, se intenta una SA
de fase 1 con la siguiente dirección IP del mismo nivel. DPD solo está activo después de establecerse
una asociación de la fase 1.
• Si la puerta de enlace de ICR está configurada con varias direcciones IP de par y DPD, pero DPD falla
con la dirección IP del par actual, lasAS de fase 1 y fase 2 se borrarán y se activará una conmutación
por error a la dirección IP del par siguiente.
• Puede existir más de una SA Phase 1 o Phase 2 con el mismo interlocutor debido a las negociaciones
simultáneas. En este caso, R-U-en todos los mensajes se envían a todas las SA de la fase 1. Si no se
reciben respuestas DPD para el número configurado de veces consecutivas, se borrará la SA de la
fase 1 y la SA asociada de la fase 2 (solo para IKEv2).
SEE ALSO
Verify-path | 1737
Introducción a IPsec VPN | 136
Ejemplo Configuración de una VPN basada en políticas con un iniciador y un respondedor detrás de
un dispositivo TDR | 629
Cuando se produce un problema de red relacionado con una VPN, después de que el túnel sólo llega el
estado de túnel, se realiza un seguimiento de él. Muchos problemas se pueden producir antes de que se
produzca el túnel. Por lo tanto, en lugar de realizar el seguimiento únicamente del estado del túnel,
problemas de túnel o errores de negociación, ahora se realiza el seguimiento de eventos de éxito tales
1433
Para la fase 1 y fase 2, se realiza un seguimiento de los eventos de negociación de un túnel dado, junto
con los eventos que se producen en daemons externos, como AUTHd o PKID. Cuando un evento de
túnel aparece varias veces, solo se mantiene una entrada con la hora actualizada y el número de veces
que se produjo el evento.
En general, se realiza un seguimiento de 16 eventos: ocho eventos para la fase 1 y ocho eventos para la
fase 2. Algunos eventos pueden reproducirse y llenar la memoria de eventos, lo que provoca que se
quiten eventos importantes. Para evitar sobrescribir, un suceso no se almacena a menos que un túnel no
esté presionado.
Los túneles AutoVPN se crean y eliminan dinámicamente y, por lo tanto, los eventos de túnel
correspondientes a estos túneles son de corta duración. A veces estos eventos de túnel no se pueden
asociar con ningún túnel, por lo que el registro del sistema se utiliza para depuración.
SEE ALSO
release-history
15.1X49-D130 A partir de Junos OS Release 15.1 X49-D130, el rango de parámetros de intervalo permitido
en el que se envían los mensajes R-U-at al dispositivo del mismo nivel se reduce de 10 a 60
segundos a 2 segundos mediante 60 segundos. El parámetro de umbral mínimo debe ser 3
cuando el valor del parámetro de intervalo DPD es inferior a 10 segundos.
1434
15.1X49-D120 A partir de Junos OS versión 15.1 X49-D120, puede configurar el tamaño del paquete que se
utiliza para comprobar una ruta de acceso de la sesión st0 IPSec antes de que se ponga en
marcha la interfaz.
15
CHAPTER LABEL COVER PAGE
in this section
Ejemplo Configuración y aplicación de un filtro de Firewall para un clasificador multicampo en PMI | 1462
Descripción de la interfaz de bucle invertido para una VPN de alta disponibilidad | 1475
El rendimiento del tráfico VPN de IPsec para minimizar la sobrecarga de reenvío de paquetes puede
optimizarse habilitando la afinidad de las sesiones VPN y la aceleración del rendimiento.
La afinidad de las sesiones VPN se produce cuando una sesión de texto no cifrado se encuentra en una
unidad de procesamiento de servicios (SPU) que es diferente de la SPU en la que se encuentra la sesión
de túnel IPsec. El objetivo de la afinidad de sesión VPN es localizar la sesión de descifrado e IPsec en la
misma SPU. Esta característica solo se admite en dispositivos SRX5400, SRX5600 y SRX5800.
Sin la afinidad de sesión VPN, una sesión de texto creado por un flujo podría encontrarse en una SPU y
la sesión de túnel creada por IPsec podría encontrarse en otra SPU. Es necesario que la SPU sea directa
o de contratransmisión para enrutar paquetes de texto no cifrado al túnel IPsec.
De forma predeterminada, la afinidad de sesión VPN está deshabilitada en serie SRX dispositivos.
Cuando se habilita la afinidad de sesión VPN, se coloca una nueva sesión de CLEARTEXT en la misma
SPU que la sesión de túnel IPsec. Las sesiones de texto no se verán afectadas.
1437
SRX5K-MPC (IOC2) y IOC3 admiten afinidad de sesión VPN a través de módulos de flujo mejorados y
caché de sesión. Con IOCs, el módulo de flujo crea sesiones para el tráfico basado en el túnel IPsec
antes del cifrado y después del descifrado en su SPU en el túnel de delimitadores e instala la caché de
sesión para las sesiones, de forma que IOC pueda redirigir los paquetes a la misma SPU para minimizar el
paquete sobrecarga de reenvío. El tráfico de la ruta Express (anteriormente conocida como descarga de
servicios) y el tráfico de la caché NP comparten la misma tabla de caché de sesión en el IOCs.
Para mostrar sesiones de túnel activo en SPUs, utilice show security ipsec security-association el
comando y especifique las ranuras del concentrador de PIC flexible (FPC) y la tarjeta de interfaz física
(PIC) que contienen la SPU. Por ejemplo:
Es necesario evaluar la distribución de túnel y los patrones de tráfico de la red para determinar si se
debe habilitar la afinidad de sesión VPN.
A partir de Junos OS versión 12.3 X48-D50, Junos OS versión 15.1 X49-D90, y Junos OS Release 17.3
R1, si la afinidad de sesión VPN está habilitada en los dispositivos SRX5400, SRX5600 y SRX5800, la
sobrecarga de túnel se calcula de acuerdo con el cifrado negociado y algoritmos de autenticación en la
unidad de procesamiento de servicios Premium (SPU). Si el cifrado o autenticación cambia, la sobrecarga
de túnel se actualiza en el delimitador SPU cuando se establece una nueva asociación de seguridad
IPsec.
• La afinidad de sesión VPN solo afecta al tráfico autónomo que termina en el dispositivo (lo que
también se conoce como tráfico entrante del host); el tráfico que se origina en el dispositivo (también
conocido como tráfico saliente de host) no se ve afectado.
SEE ALSO
De forma predeterminada, la afinidad de sesión VPN está deshabilitada en serie SRX dispositivos. Al
habilitar la afinidad de sesión VPN, se puede mejorar el rendimiento de VPN en ciertas condiciones. Esta
característica solo se admite en dispositivos SRX5400, SRX5600 y SRX5800. En esta sección se describe
cómo usar la CLI para habilitar la afinidad de sesión VPN.
Determine si las sesiones de texto simple se reenvían a las sesiones de túnel IPsec en una SPU diferente.
Utilice el show security flow session comando para mostrar información de sesión acerca de las
sesiones de texto sin cifrar.
En el ejemplo, hay una sesión de túnel de FPC 3, PIC 0 y una sesión de texto simple en FPC 6, PIC 0.
Una sesión de reenvío (ID. de sesión 60017354) está configurada en FPC 3, PIC 0.
Junos OS Release 15.1 X49-D10 presenta la compatibilidad con la afinidad de sesión en IOCs (SRX5K-
MPC [IOC2], SRX5K-MPC3-100G10G [IOC3] y SRX5K-MPC3-40G10G [IOC3]) y Junos OS versión 12.3
X48-D30 incluye compatibilidad con afinidad de sesión en IOC2. Puede habilitar la afinidad de sesión
para la sesión de túnel IPsec en el FPCs de IOC. Para habilitar la afinidad de VPN de IPsec, debe habilitar
también la caché de sesión en IOCs mediante set chassis fpc fpc-slot np-cache el comando.
1. En el modo de configuración, set use el comando para habilitar la afinidad de sesión VPN.
[edit]
user@host# set security flow load-distribution session-affinity ipsec
[edit]
user@host# commit check
3. Confirme la configuración.
[edit]
user@host# commit
1440
Después de habilitar la afinidad de sesión VPN, show security flow session utilice el comando para
mostrar información de sesión acerca de las sesiones de texto sin cifrar.
Después de habilitar la afinidad de sesión VPN, la sesión de texto no cifrado siempre se encuentra en la
red de 3, PIC 0.
SEE ALSO
En este tema se describe cómo utilizar la CLI para habilitar la aceleración del rendimiento de VPN.
Para activar la aceleración del rendimiento, debe asegurarse de que las sesiones de texto no cifrado y las
sesiones de túnel IPsec se establecen en la misma unidad de procesamiento de servicios (SPU). A partir
de Junos OS versión 17.4 R1, el rendimiento de VPN de IPsec se optimiza cuando se habilitan las
características de afinidad de sesión VPN y aceleración de rendimiento. Para obtener más información
sobre cómo habilitar la afinidad de sesión, consulte Understanding VPN Session Affinity.
[edit]
user@host# set security flow load-distribution session-affinity ipsec
[edit]
user@host# set security flow ipsec-performance-acceleration
[edit]
user@host# commit check
4. Confirme la configuración.
[edit]
user@host# commit
1442
Después de habilitar la aceleración de rendimiento de show security flow status VPN, utilice el comando
para mostrar el estado de flujo.
SEE ALSO
A partir de Junos OS versión 19.2 R1, puede configurar uno o más perfiles de distribución IPsec para las
asociaciones de seguridad IPsec (SA). Los túneles se distribuyen de manera uniforme a través de todos
los recursos (SPC) especificados en el perfil de distribución configurado. Solo se admite en SPC3 y en
modo mixto (SPC3 + SPC2), no se admite en sistemas SPC1 y SPC2. Con el perfil de distribución IPsec,
use set security ipsec vpn vpn-name distribution-profile distribution-profile-name el comando para
asociar túneles a un especificado:
• Espacio
• RECOGER
• default-spc2-profile : use este perfil predeterminado predefinido para asociar túneles IPsec a todas
las tarjetas SPC2 disponibles.
1443
• default-spc3-profile : use este perfil predeterminado predefinido para asociar túneles IPsec a todas
las tarjetas SPC3 disponibles.
Ahora puede asignar un perfil a un objeto VPN específico, en el que todos los túneles asociados se
distribuirán en función de este perfil. Si no hay ningún perfil asignado al objeto VPN, el serie SRX
dispositivo distribuye automáticamente estos túneles uniformemente en todos los recursos.
Puede asociar un objeto de VPN a un perfil definido por el usuario o a uno predefinido (predeterminado).
A partir Junos OS versión 20.2R2, los IDs de subprocesos no válidos configurados para el perfil de
distribución se omiten sin mensaje de error de confirmación. El túnel IPsec se ancla según el perfil de
distribución configurado, ignorando los IPD de subprocesos no válidos si los hay para ese perfil.
En el siguiente ejemplo, todos los túneles asociados con el perfil ABC se distribuirán en la FPC 0, PIC 0.
in this section
PowerMode IPsec (PMI) es un nuevo modo de funcionamiento que proporciona mejoras de rendimiento
de IPSec mediante el procesamiento de paquetes vectoriales y las instrucciones de Intel AES-ni. PMI
utiliza un pequeño bloque de software dentro de la motor de reenvío de paquetes que omite el
procesamiento de flujo y utiliza el conjunto de instrucciones AES-NI para obtener un rendimiento
optimizado del procesamiento de IPsec y se activa cuando PMI está habilitado.
El procesamiento de PMI se habilita mediante set security flow power-mode-ipsec el comando modo de
configuración.
1444
Para deshabilitar el procesamiento de PMI delete security flow power-mode-ipsec , utilice el comando
modo de configuración para eliminar la instrucción de la configuración.
En el caso de los dispositivos SRX4100, SRX4200 que ejecutan Junos OS versión 18.4R1, dispositivos
SRX4600 que ejecutan Junos OS versión 20.4R1 y vSRX que ejecutan Junos OS versión 18.3R1 después
de activar o deshabilitar la PMI, debe reiniciar el dispositivo para que la configuración suba a efecto. Sin
embargo, para los dispositivos de línea de SRX5000 y vSRX instancias que se ejecutan Junos OS la
versión 19.2 R1, no es necesario reiniciar el reinicio.
Puede comprobar el estado de la PMI y del túnel fat mediante el comando de modo show security flow
status operativo.
Puede comprobar las estadísticas de PMI con el show security flow pmi statistics operational mode
comando.
Una sesión de túnel puede ser PMI o no PMI. Si una sesión está configurada con cualquiera de las
funciones no compatibles enumeradas en, la sesión se marca como no PMI y el túnel pasará al modo no
Tabla 106 en la página 1444Tabla 107 en la página 1446 PMI. Una vez que el túnel entra en el modo no
PMI, no volverá al modo PMI.
Tabla 106 en la página 1444resume las funciones de PMI compatibles y no compatibles en dispositivos
serie SRX.
Tabla 106: Resumen de las funciones compatibles con IPsec de PowerMode en dispositivos de la serie
SRX
Tabla 106: Resumen de las funciones compatibles con IPsec de PowerMode en dispositivos de la serie
SRX (Continued)
Escenario GTP-U con distribución TEID y solución de túnel Algoritmo de cifrado 3DES-CBC
FAT asimétrico
TDR
Tabla 106: Resumen de las funciones compatibles con IPsec de PowerMode en dispositivos de la serie
SRX (Continued)
Tabla 107 en la página 1446 resume las funciones de PMI compatibles y no compatibles en la tarjeta de
servicios MX-SPC3.
Tabla 107: Resumen de las funciones compatibles con PowerMode IPsec en la tarjeta de servicios MX-
SPC3
Funcionalidad Intercambio de claves por red (ICR) Capa 4-7 aplicaciones: firewall de
aplicaciones, AppSecure y ALG
interfaz st0
Selectores de tráfico
Tabla 107: Resumen de las funciones compatibles con PowerMode IPsec en la tarjeta de servicios MX-
SPC3 (Continued)
TDR
Post/Pre fragmento
• La PMI para TDR-T sólo es compatible con SRX5400, SRX5600 SRX5800 dispositivos equipados con
SRX5K-SPC3 Services Process Card (SPC) o vSRX.
A partir de la Junos OS de la versión 19.1 R1, clase de servicio (CoS) admite la configuración de las
funciones de clasificador de agregado de comportamiento de (BA), clasificador multicampo (MF) y regla
de reescritura en PMI en las tarjetas de la tarjeta de procesamiento de servicios de SRX5K SPC3 (SPC).
A partir de Junos OS Release 19.2 R1, PowerMode IPsec (PMI) admite el escenario GTP-U con la
distribución TEID y la solución de túnel FAT asimétrico.
A partir de Junos OS versión 19.3 R1, GTP-U, con distribución TEID y solución de túnel de grasa
asimétrica y software, en vSRX y vSRX 3,0.
A partir de Junos OS Release 19.4 R1, vSRX las instancias compatibles con
• Funciones de CoS por flujo para el tráfico de GTP-U en el modo PowerMode IPsec (PMI).
• Características de clase de servicio (CoS) en el modo PowerMode IPsec (PMI). Las siguientes
funciones CoS se admiten en el modo PMI:
• Hará
• Cola
• Formación
• Programaremos
Para configurar el flujo de seguridad PowerMode IPsec, es muy posible habilitar la caché de sesión en
IOCs y la afinidad de sesión:
1449
SEE ALSO
in this section
Aplicables | 1450
Automática | 1451
Comproba | 1454
En este ejemplo se muestra cómo configurar clasificadores de agregados de comportamiento (BA) para
un dispositivo SRX para determinar el tratamiento de reenvío de paquetes en PowerMode IPsec (PMI).
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
• Determine la clase de reenvío y PLP que se asignan de forma predeterminada a cada DSCP conocido
que desea configurar para el clasificador de agregados de comportamiento.
Descripción general
Configure los clasificadores agregados de comportamiento para clasificar los paquetes que contienen
puntos DSCP válidos en las colas adecuadas. Una vez configurado, aplica el clasificador de agregado de
comportamiento a las interfaces correctas. Para reemplazar el clasificador de precedencia de IP
predeterminado, puede definir un clasificador y aplicarlo a una interfaz lógica. Para definir nuevos
clasificadores para todos los tipos de punto de código classifiers , incluya la [edit class-of-service]
instrucción en el nivel jerárquico.
La tabla 2 muestra cómo el comportamiento agrega un clasificador que asigna prioridades de pérdida, a
paquetes entrantes en las cuatro clases de reenvío.
1451
Automática
in this section
Modalidades | 1452
Resultados | 1453
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points
110001
set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en Junos OS CLI usuario.
[edit]
user@host# edit class-of-service
[edit class-of-service]
user@host# edit classifiers dscp ba-classifier
user@host# set import default
[edit]
user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Resultados
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
1454
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
Comproba
in this section
Purpose
Intervención
Efectos
in this section
Aplicables | 1455
Automática | 1456
Comproba | 1461
En este ejemplo se muestra cómo configurar clasificadores de agregado de comportamiento (BA) para
una instancia de vSRX para determinar el tratamiento de reenvío de paquetes en PowerMode IPsec
(PMI).
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
• Determine la clase de reenvío y las prioridades de pérdida de paquetes (PLP) que se asignan de forma
predeterminada a cada DSCP conocido que desea configurar para el clasificador de agregados de
comportamiento.
1456
Descripción general
Configure los clasificadores agregados de comportamiento para clasificar los paquetes que contienen
puntos DSCP válidos en las colas adecuadas. Una vez configurado, aplica el clasificador de agregado de
comportamiento a las interfaces correctas. Para reemplazar el clasificador de precedencia de IP
predeterminado, puede definir un clasificador y aplicarlo a una interfaz lógica. Para definir nuevos
clasificadores para todos los tipos de punto de código classifiers , incluya la [edit class-of-service]
instrucción en el nivel jerárquico.
La tabla 2 muestra cómo el comportamiento agrega un clasificador que asigna prioridades de pérdida, a
paquetes entrantes en las cuatro clases de reenvío.
Automática
in this section
Modalidades | 1457
Resultados | 1459
1457
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en Junos OS CLI usuario.
[edit]
user@host# edit class-of-service
[edit class-of-service]
user@host# edit classifiers dscp ba-classifier
[edit class-of-service]
user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier
user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP
user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
[edit class-of-service]
user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice
user@host# set schedulers voice buffer-size temporal 5k
user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile
drop_profile
Resultados
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
1460
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile
drop_profile;
1461
}
}
Comproba
in this section
Purpose
Compruebe que el clasificador esté configurado correctamente y confirme que las clases de reenvío
están configuradas correctamente.
Intervención
Efectos
in this section
Aplicables | 1462
Automática | 1463
Comproba | 1468
En este ejemplo se muestra cómo configurar un filtro de Firewall para clasificar el tráfico en una clase de
reenvío diferente utilizando el valor DSCP y el clasificador multicampo (MF) en PowerMode IPsec (PMI).
El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan en una
interfaz. Los clasificadores MF se utilizan cuando un clasificador de agregado de comportamiento simple
(BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen
bits CoS marcados o el marcado del enrutador de emparejamiento no es de confianza.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
• Determine la clase de reenvío que se asigna de forma predeterminada a cada DSCP conocido que
desea configurar para el clasificador MF. Vea mejorar el rendimiento de IPsec con PowerMode IPSec.
Descripción general
En este ejemplo se explica cómo configurar el filtro mf-classifierFirewall. Para configurar el clasificador
MF, cree y asigne un nombre a la clase de tráfico de reenvío asegurado, defina la condición de
1463
En este ejemplo, cree y asigne un nombre a la clase de tráfico de reenvío acelerado y establezca la
condición de coincidencia para la clase de tráfico de reenvío acelerado. Especifique la dirección de
destino como 192.168.66.77. Cree la clase de reenvío para el tráfico DiffServ de reenvío ef-class rápido
como y establezca la policíaría ef-policer. Cree y asigne un nombre a la clase de tráfico de control de red
y establezca la condición de coincidencia.
En este ejemplo, cree y asigne un nombre a la clase de reenvío para la clase nc-class de tráfico de control
de red como y asigne a la clase de reenvío el nombre de la clase de tráfico "Best-Effort" be-class. Por
último, aplique el filtro de Firewall de clasificadores multicampo como filtro de entrada y salida en cada
uno de los clientes o a los que el cliente necesite el filtro. En este ejemplo, la interfaz para el filtro de
entrada es GE-0/0/2 y la interfaz para el filtro de salida es GE-0/0/4.
Automática
in this section
Modalidades | 1464
Resultados | 1466
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en Junos OS CLI usuario.
Para configurar un filtro de Firewall para un clasificador multicampo para un dispositivo en PMI:
[edit]
user@host# edit firewall filter mf-classifier
user@host# set interface-specific
4. Cree la clase de reenvío y establezca la prioridad de pérdida para la clase de tráfico de reenvío
asegurado.
[edit]
user@host# edit firewall filter mf-classifier
user@host# edit term expedited-forwarding
7. Cree la clase de reenvío y aplique la policía para la clase de tráfico de reenvío acelerado.
[edit]
user@host# edit firewall filter mf-classifier
user@host# edit term network-control
10. Cree y asigne un nombre a la clase de enrutamiento para la clase de tráfico de control de red.
[edit]
user@host# edit firewall filter mf-classifier
user@host# edit term best-effort
[edit]
user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
[edit]
user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Resultados
Desde el modo de configuración, escriba el show firewall filter mf-classifier comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
1467
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
Desde el modo de configuración, escriba el show interfaces comando para confirmar la configuración. Si
el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
1468
family inet {
filter {
output mf-classifier;
}
}
}
}
Comproba
in this section
Purpose
Compruebe que hay un filtro de Firewall para un clasificador multicampo configurado correctamente en
un dispositivo y confirme que las clases de reenvío se han configurado correctamente.
Intervención
NC 3 3 3
low normal low
Efectos
in this section
Aplicables | 1469
Automática | 1470
Comproba | 1473
En este ejemplo, se muestra cómo configurar y aplicar reglas de reescritura para un dispositivo en
PowerMode IPsec (PMI).
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
• Crear y configurar las clases de reenvío. Vea mejorar el rendimiento de IPsec con PowerMode IPSec.
Descripción general
Este ejemplo explica cómo configurar reglas de reescritura para reemplazar los valores de CoS en
paquetes recibidos del cliente o host con los valores esperados por otros dispositivos SRX. No es
necesario que configure las reglas de reescritura si los paquetes recibidos ya contienen valores CoS
válidos. Reglas de reescritura aplican la información de clase de reenvío y la prioridad de pérdida de
1470
paquetes que utiliza internamente el dispositivo para establecer el valor de la CES en los paquetes
salientes. Una vez configuradas las reglas de reescritura, aplíquelos a las interfaces correctas.
En este ejemplo, configure la regla de reescritura para la rewrite-dscpsCES Diffserv como. Especifique la
clase de reenvío Best-Effort be-classcomo una clase de reenvío acelerado como ef-class, una clase de
transferencia af-classasegurada como, y una clase nc-classde control de red como. Por último, aplique la
regla de reescritura a la interfaz GE-0/0/0.
Automática
in this section
Modalidades | 1471
Resultados | 1472
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point
000000
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point
000001
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point
101110
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point
101111
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point
001010
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point
001100
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point
110000
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point
1471
110001
set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en Junos OS CLI usuario.
[edit]
user@host# edit class-of-service
user@host# edit rewrite-rules dscp rewrite-dscps
[edit class-of-service]
user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Resultados
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
1473
Comproba
in this section
Purpose
Intervención
Efectos
La IPsec PowerMode (PMI) introdujo una nueva ruta de datos para lograr un rendimiento alto de
rendimiento de IPsec. A partir de Junos OS versión 19.4 R1, en dispositivos de la serie SRX5000 con
tarjeta SRX5K-SPC3, puede usar el modo solo de autenticación carga de seguridad de encapsulación
(ESP) en modo PMI, que proporciona autenticación, comprobación de integridad y protección de
reproducción sin cifrando los paquetes de datos.
Antes de empezar:
• Asegúrese de que la sesión sea compatible con PMI. Consulte Afinidad de sesión VPN.
SEE ALSO
En una configuración de túnel VPN de IPsec, debe especificarse una interfaz externa para comunicarse
con la puerta de enlace de ICR del mismo nivel. Especificar una interfaz de bucle de retroceso para la
interfaz externa de una VPN es una buena práctica cuando hay varias interfaces físicas que se pueden
usar para alcanzar una puerta de enlace del mismo nivel. Al delimitar un túnel VPN en la interfaz de
bucle invertido se elimina la dependencia de una interfaz física para que el enrutamiento sea correcto.
El uso de una interfaz de bucle invertido para túneles VPN se admite en dispositivos serie SRX
independientes, así como en dispositivos serie SRX en los clústeres del chasis. En un clúster de chasis de
implementación activa-pasiva, puede crear una interfaz lógica de bucle invertido y convertirla en
miembro de un grupo de redundancia para que pueda usarse para anclar túneles VPN. La interfaz de
bucle invertido se puede configurar en cualquier grupo de redundancia y se asigna como la interfaz
externa para la puerta de enlace de ICR. Los paquetes VPN se procesan en el nodo donde el grupo de
redundancia está activo.
En los dispositivos SRX5400, SRX5600 y SRX5800, si la interfaz de bucle de retroceso se utiliza como
interfaz externa de puerta de enlace de ICR, debe configurarse en un grupo de redundancia distinto de
RG0.
En una instalación del clúster del chasis, el nodo en el que está activa la interfaz externa Selecciona una
SPU para anclar el túnel VPN. Los paquetes de ICR e IPsec se procesarán en esa SPU. Por lo tanto, una
interfaz externa activa determina el anclaje de la SPU.
Puede utilizar el show chassis cluster interfaces comando para ver información acerca de la
pseudointerface redundante.
SEE ALSO
release-history
12.3X48-D50 A partir de Junos OS versión 12.3 X48-D50, Junos OS versión 15.1 X49-D90, y Junos OS
Release 17.3 R1, si la afinidad de sesión VPN está habilitada en los dispositivos SRX5400,
SRX5600 y SRX5800, la sobrecarga de túnel se calcula de acuerdo con el cifrado negociado y
algoritmos de autenticación en la unidad de procesamiento de servicios Premium (SPU).
17.4R1 A partir de Junos OS versión 17.4 R1, el rendimiento de VPN de IPsec se optimiza cuando se
habilitan las características de afinidad de sesión VPN y aceleración de rendimiento.
Junos OS Release A partir Junos OS versión 20.2R2, los IDs de subprocesos no válidos configurados para el perfil
20.2R de distribución se omiten sin mensaje de error de confirmación. El túnel IPsec se ancla según el
perfil de distribución configurado, ignorando los IPD de subprocesos no válidos si los hay para
ese perfil.
VÍNCULOS RELACIONADOS
PowerMode IPSec
in this section
Ejemplo Configuración y aplicación de un filtro de Firewall para un clasificador multicampo en PMI | 1489
Descripción de la interfaz de bucle invertido para una VPN de alta disponibilidad | 1502
1477
in this section
Aplicables | 1477
Automática | 1478
Comproba | 1481
En este ejemplo se muestra cómo configurar clasificadores de agregados de comportamiento (BA) para
un dispositivo SRX para determinar el tratamiento de reenvío de paquetes en PowerMode IPsec (PMI).
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
• Determine la clase de reenvío y PLP que se asignan de forma predeterminada a cada DSCP conocido
que desea configurar para el clasificador de agregados de comportamiento.
Descripción general
Configure los clasificadores agregados de comportamiento para clasificar los paquetes que contienen
puntos DSCP válidos en las colas adecuadas. Una vez configurado, aplica el clasificador de agregado de
comportamiento a las interfaces correctas. Para reemplazar el clasificador de precedencia de IP
predeterminado, puede definir un clasificador y aplicarlo a una interfaz lógica. Para definir nuevos
clasificadores para todos los tipos de punto de código classifiers , incluya la [edit class-of-service]
instrucción en el nivel jerárquico.
La tabla 2 muestra cómo el comportamiento agrega un clasificador que asigna prioridades de pérdida, a
paquetes entrantes en las cuatro clases de reenvío.
Automática
in this section
Modalidades | 1479
Resultados | 1480
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
101111
set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points
001100
set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points
110001
set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en Junos OS CLI usuario.
[edit]
user@host# edit class-of-service
[edit class-of-service]
user@host# edit classifiers dscp ba-classifier
user@host# set import default
[edit]
user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
Resultados
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
1481
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
Comproba
in this section
Purpose
Intervención
Efectos
in this section
Aplicables | 1482
Automática | 1483
Comproba | 1488
En este ejemplo se muestra cómo configurar clasificadores de agregado de comportamiento (BA) para
una instancia de vSRX para determinar el tratamiento de reenvío de paquetes en PowerMode IPsec
(PMI).
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
• Determine la clase de reenvío y las prioridades de pérdida de paquetes (PLP) que se asignan de forma
predeterminada a cada DSCP conocido que desea configurar para el clasificador de agregados de
comportamiento.
1483
Descripción general
Configure los clasificadores agregados de comportamiento para clasificar los paquetes que contienen
puntos DSCP válidos en las colas adecuadas. Una vez configurado, aplica el clasificador de agregado de
comportamiento a las interfaces correctas. Para reemplazar el clasificador de precedencia de IP
predeterminado, puede definir un clasificador y aplicarlo a una interfaz lógica. Para definir nuevos
clasificadores para todos los tipos de punto de código classifiers , incluya la [edit class-of-service]
instrucción en el nivel jerárquico.
La tabla 2 muestra cómo el comportamiento agrega un clasificador que asigna prioridades de pérdida, a
paquetes entrantes en las cuatro clases de reenvío.
Automática
in this section
Modalidades | 1484
Resultados | 1486
1484
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en Junos OS CLI usuario.
[edit]
user@host# edit class-of-service
[edit class-of-service]
user@host# edit classifiers dscp ba-classifier
[edit class-of-service]
user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier
user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP
user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
[edit class-of-service]
user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice
user@host# set schedulers voice buffer-size temporal 5k
user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile
drop_profile
Resultados
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
1487
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile
drop_profile;
1488
}
}
Comproba
in this section
Purpose
Compruebe que el clasificador esté configurado correctamente y confirme que las clases de reenvío
están configuradas correctamente.
Intervención
Efectos
in this section
Aplicables | 1489
Automática | 1490
Comproba | 1495
En este ejemplo se muestra cómo configurar un filtro de Firewall para clasificar el tráfico en una clase de
reenvío diferente utilizando el valor DSCP y el clasificador multicampo (MF) en PowerMode IPsec (PMI).
El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan en una
interfaz. Los clasificadores MF se utilizan cuando un clasificador de agregado de comportamiento simple
(BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen
bits CoS marcados o el marcado del enrutador de emparejamiento no es de confianza.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
• Determine la clase de reenvío que se asigna de forma predeterminada a cada DSCP conocido que
desea configurar para el clasificador MF. Vea mejorar el rendimiento de IPsec con PowerMode IPSec.
Descripción general
En este ejemplo se explica cómo configurar el filtro mf-classifierFirewall. Para configurar el clasificador
MF, cree y asigne un nombre a la clase de tráfico de reenvío asegurado, defina la condición de
1490
En este ejemplo, cree y asigne un nombre a la clase de tráfico de reenvío acelerado y establezca la
condición de coincidencia para la clase de tráfico de reenvío acelerado. Especifique la dirección de
destino como 192.168.66.77. Cree la clase de reenvío para el tráfico DiffServ de reenvío ef-class rápido
como y establezca la policíaría ef-policer. Cree y asigne un nombre a la clase de tráfico de control de red
y establezca la condición de coincidencia.
En este ejemplo, cree y asigne un nombre a la clase de reenvío para la clase nc-class de tráfico de control
de red como y asigne a la clase de reenvío el nombre de la clase de tráfico "Best-Effort" be-class. Por
último, aplique el filtro de Firewall de clasificadores multicampo como filtro de entrada y salida en cada
uno de los clientes o a los que el cliente necesite el filtro. En este ejemplo, la interfaz para el filtro de
entrada es GE-0/0/2 y la interfaz para el filtro de salida es GE-0/0/4.
Automática
in this section
Modalidades | 1491
Resultados | 1493
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en Junos OS CLI usuario.
Para configurar un filtro de Firewall para un clasificador multicampo para un dispositivo en PMI:
[edit]
user@host# edit firewall filter mf-classifier
user@host# set interface-specific
4. Cree la clase de reenvío y establezca la prioridad de pérdida para la clase de tráfico de reenvío
asegurado.
[edit]
user@host# edit firewall filter mf-classifier
user@host# edit term expedited-forwarding
7. Cree la clase de reenvío y aplique la policía para la clase de tráfico de reenvío acelerado.
[edit]
user@host# edit firewall filter mf-classifier
user@host# edit term network-control
10. Cree y asigne un nombre a la clase de enrutamiento para la clase de tráfico de control de red.
[edit]
user@host# edit firewall filter mf-classifier
user@host# edit term best-effort
[edit]
user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
[edit]
user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
Resultados
Desde el modo de configuración, escriba el show firewall filter mf-classifier comando para confirmar la
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de
configuración de este ejemplo para corregirlo.
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
1494
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
Desde el modo de configuración, escriba el show interfaces comando para confirmar la configuración. Si
el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este
ejemplo para corregirlo.
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
1495
family inet {
filter {
output mf-classifier;
}
}
}
}
Comproba
in this section
Purpose
Compruebe que hay un filtro de Firewall para un clasificador multicampo configurado correctamente en
un dispositivo y confirme que las clases de reenvío se han configurado correctamente.
Intervención
NC 3 3 3
low normal low
Efectos
in this section
Aplicables | 1496
Automática | 1497
Comproba | 1500
En este ejemplo, se muestra cómo configurar y aplicar reglas de reescritura para un dispositivo en
PowerMode IPsec (PMI).
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Antes de empezar:
• Crear y configurar las clases de reenvío. Vea mejorar el rendimiento de IPsec con PowerMode IPSec.
Descripción general
Este ejemplo explica cómo configurar reglas de reescritura para reemplazar los valores de CoS en
paquetes recibidos del cliente o host con los valores esperados por otros dispositivos SRX. No es
necesario que configure las reglas de reescritura si los paquetes recibidos ya contienen valores CoS
válidos. Reglas de reescritura aplican la información de clase de reenvío y la prioridad de pérdida de
1497
paquetes que utiliza internamente el dispositivo para establecer el valor de la CES en los paquetes
salientes. Una vez configuradas las reglas de reescritura, aplíquelos a las interfaces correctas.
En este ejemplo, configure la regla de reescritura para la rewrite-dscpsCES Diffserv como. Especifique la
clase de reenvío Best-Effort be-classcomo una clase de reenvío acelerado como ef-class, una clase de
transferencia af-classasegurada como, y una clase nc-classde control de red como. Por último, aplique la
regla de reescritura a la interfaz GE-0/0/0.
Automática
in this section
Modalidades | 1498
Resultados | 1499
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de
texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de
red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit
desde el modo de configuración.
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point
000000
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point
000001
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point
101110
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point
101111
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point
001010
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point
001100
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point
110000
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point
1498
110001
set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Modalidades
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para
obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración
en Junos OS CLI usuario.
[edit]
user@host# edit class-of-service
user@host# edit rewrite-rules dscp rewrite-dscps
[edit class-of-service]
user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
Resultados
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
1500
Comproba
in this section
Purpose
Intervención
Efectos
La IPsec PowerMode (PMI) introdujo una nueva ruta de datos para lograr un rendimiento alto de
rendimiento de IPsec. A partir de Junos OS versión 19.4 R1, en dispositivos de la serie SRX5000 con
tarjeta SRX5K-SPC3, puede usar el modo solo de autenticación carga de seguridad de encapsulación
(ESP) en modo PMI, que proporciona autenticación, comprobación de integridad y protección de
reproducción sin cifrando los paquetes de datos.
Antes de empezar:
• Asegúrese de que la sesión sea compatible con PMI. Consulte Afinidad de sesión VPN.
SEE ALSO
En una configuración de túnel VPN de IPsec, debe especificarse una interfaz externa para comunicarse
con la puerta de enlace de ICR del mismo nivel. Especificar una interfaz de bucle de retroceso para la
interfaz externa de una VPN es una buena práctica cuando hay varias interfaces físicas que se pueden
usar para alcanzar una puerta de enlace del mismo nivel. Al delimitar un túnel VPN en la interfaz de
bucle invertido se elimina la dependencia de una interfaz física para que el enrutamiento sea correcto.
El uso de una interfaz de bucle invertido para túneles VPN se admite en dispositivos serie SRX
independientes, así como en dispositivos serie SRX en los clústeres del chasis. En un clúster de chasis de
implementación activa-pasiva, puede crear una interfaz lógica de bucle invertido y convertirla en
miembro de un grupo de redundancia para que pueda usarse para anclar túneles VPN. La interfaz de
bucle invertido se puede configurar en cualquier grupo de redundancia y se asigna como la interfaz
externa para la puerta de enlace de ICR. Los paquetes VPN se procesan en el nodo donde el grupo de
redundancia está activo.
En los dispositivos SRX5400, SRX5600 y SRX5800, si la interfaz de bucle de retroceso se utiliza como
interfaz externa de puerta de enlace de ICR, debe configurarse en un grupo de redundancia distinto de
RG0.
En una instalación del clúster del chasis, el nodo en el que está activa la interfaz externa Selecciona una
SPU para anclar el túnel VPN. Los paquetes de ICR e IPsec se procesarán en esa SPU. Por lo tanto, una
interfaz externa activa determina el anclaje de la SPU.
Puede utilizar el show chassis cluster interfaces comando para ver información acerca de la
pseudointerface redundante.
SEE ALSO
Solución de problemas
Solución de problemas de una VPN que está en servicio pero no pasa tráfico |
1507
in this section
Relacionado | 1504
Diagnóstico | 1504
Relacionado
Descripción
Túnel VPN de sitio a sitio o flapping de túnel VPN IPsec remoto (es decir, subir y bajar en rápida
sucesión).
Diagnóstico
• Así Compruebe los registros del sistema y continúe con el paso 2. Utilice el show log messages
comando para ver los registros. Debe habilitar el registro a nivel de información para que los
mensajes se informen correctamente.
A continuación, se muestran ejemplos de registros del sistema que informan sobre un túnel VPN
de flapping:
is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-
id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local
IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable,
VR id: 4
Jul 9 21:09:58 kmd[1496]: KMD_VPN_DOWN_ALARM_USER: VPN to_hub from 3.3.3.2
is down. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-
id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local
IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable,
VR id: 4
Jul 9 21:10:10 kmd[1496]: KMD_VPN_UP_ALARM_USER: VPN to_hub from 3.3.3.2
is up. Local-ip: 4.4.4.4, gateway name: to_hub, vpn name: to_hub, tunnel-
id: 131073, local tunnel-if: st0.0, remote tunnel-ip: 70.70.70.1, Local
IKE-ID: 4.4.4.4, Remote IKE-ID: 3.3.3.2, XAUTH username: Not-Applicable,
VR id: 4
• Campo Si el problema se encuentra en todas las VPN configuradas, investigue los errores
asociados con la conexión a Internet, así como en las interfaces del dispositivo y del conmutador
de la serie SRX. Para comprobar si hay errores en la interfaz de dispositivo de la serie SRX, ejecute
el show interfaces extensive comando.
2. Compruebe que la supervisión VPN está habilitada para esta VPN mediante el show configuration
security ipsec vpn vpn-name comando.
• Así La inseguridad está relacionada con la configuración del monitor VPN. Continúe con el paso 4.
4. ¿Está configurada la conexión VPN remota para bloquear las solicitudes de echo ICMP?
• Así Volver a configurar y volver a configurar el monitor VPN para usar las opciones de IP de
destino y interfaz de origen. Consulte KB10119.
5. ¿Es el dispositivo remoto que está conectado al dispositivo de la serie SRX un dispositivo que no
Juniper dispositivo?
• Así Verifique el valor del id de proxy en el dispositivo de la serie SRX y el dispositivo VPN par.
6. ¿La VPN estaba estable durante un período de tiempo y luego comenzó a subir y bajar?
• Así Investigar si hay cambios en la red o en los dispositivos, o si se ha agregado algún equipo de
red nuevo al entorno.
• Campo Recopile los registros de sitio a sitio desde los dispositivos VPN en ambos extremos y abra
un caso con su representante de soporte técnico. Consulte Recopilación de datos para el soporte
al cliente.
1507
in this section
Relacionado | 1507
Solución | 1507
Relacionado
Descripción
Este tema ayuda a solucionar los problemas que podrían impedir que el tráfico pase por un túnel VPN
activo.
Environment
VIRTUALES
Solución
1. Compruebe si la asociación de seguridad de VPN (SA) está activa: show security ipsec security-
associations
Si la puerta de enlace VPN se muestra, el túnel se establece y está en servicio. El resultado muestra
dos líneas para cada túnel VPN que muestran la información SPI para cada dirección de tráfico.
El campo lo utiliza la supervisión de VPN para mostrar el estado del túnel y MON tiene uno de los
siguientes valores:
• - (guión): El túnel VPN está activo y la función opcional del monitor VPN no está configurada.
• U (hacia arriba): El túnel VPN está activo y el vínculo (detectado a través del monitor VPN) está
activo.
• D (abajo): El túnel VPN está activo y el vínculo (detectado a través del monitor VPN) está caído.
• Yes: El estado de SA de IPsec está activo o activo. Continúe con el paso "2" en la página 1508 .
2. Compruebe si la VPN usa la interfaz de circuito cerrado lo0 como interfaz externa: show
configuration security ike
• Yes: La VPN usa la interfaz de circuito cerrado lo0 como interfaz externa. Continúe con el paso
"3" en la página 1508 .
• No: La VPN no usa la interfaz de circuito cerrado lo0 como interfaz externa. Continúe con el
paso "4" en la página 1509 .
3. Compruebe si la interfaz de salida (interfaz física) y la lo0 utilizada como interfaz externa VPN se
encuentran en la misma zona de seguridad.
• No: Actualice las asignaciones de zonas de seguridad para que tanto la interfaz externa VPN
como la interfaz de salida física se encuentran en la misma zona de seguridad. Consulte Pérdida
de tráfico cuando VPN IPSec termina en la interfaz de circuito cerrado.
1509
4. Si su VPN es una VPN basada en rutas, continúe con el paso "5" en la página 1509 . Continúe con el
"8" en la página 1510 paso si es una VPN basada en políticas. Consulte ¿Cuál es la diferencia entre
una VPN basada en políticas y una VPN basada en rutas?
5. Compruebe si se asigna una ruta a la red remota a través de la interfaz st0: show route remote
network
• No: Asigne una ruta a la red remota mediante la interfaz st0. Consulte VPN basada en rutas está
para arriba, pero no para pasar tráfico. ¿Falta una ruta? .
6. En función de la ruta asignada a la red remota en el paso , compruebe si la VPN apunta a "5" en la
página 1509 la interfaz st0 correcta: show security ike y show security ipsec
1. En primer lugar, compruebe ICR puerta de enlace con el show security ike comando.
2. Compruebe la VPN IPsec para esa puerta ICR de enlace mediante el comando y en el show
security ipsec resultado compruebe si está bind-interface apuntando a la st0 interfaz.
1510
• No: La VPN no apunta a la interfaz st0 correcta. Elimine la ruta actual y agregue la ruta a la
interfaz st0 correcta. Consulte VPN basada en rutas está para arriba, pero no para pasar tráfico.
¿Falta una ruta? .
7. Compruebe si hay una política de seguridad que permita el tráfico desde la zona interna a la zona
de seguridad st0: show security policies
• No: Cree la política de seguridad adecuada y vuelva a probar la VPN. Consulte Cómo configurar
una política para una VPN basada en rutas.
8. Compruebe si existe una política de seguridad de túnel VPN para permitir el tráfico: show security
policies
}
then {
permit {
tunnel { <----------
ipsec-vpn ike-vpn-siteC; <----------
}
}
}
}
}
• No: Compruebe la configuración de VPN basada en políticas. Consulte VPN de sitio a sitio
basada en políticas.
9. Compruebe si el tráfico coincide en las políticas identificadas en paso "7" en la página 1510 o "8" en
la página 1510 paso: show security flow session source prefix source address destination prefix
destination address
• No: Verifique el orden de las políticas de seguridad: show security match policies. Consulte
Descripción del orden de las políticas de seguridad.
Si el orden es correcto, consulte Cómo solucionar un problema con una política de seguridad
que no pasa datos.
10. Recopile registros y opciones de seguimiento de flujo y abra un caso con el Juniper Networks de
soporte técnico:
• Consulte las secciones VPN basada en políticas o basadas en rutas de IPsec en Lista de
verificación de recopilación de datos: registros/datospara recopilar para la solución de
problemas.
• Para obtener más información acerca de las opciones de seguimiento de flujo, consulte Cómo
usar 'flow traceoptions' y 'security datapath-debug'.
• Si la SA aparece en la lista (la fase 2 está en ejecución) y si el tráfico no pasa, consulte "Solución de
problemas de una VPN que está en servicio pero no pasa tráfico" en la página 1507 .
• Si la SA oscila entre los estados activo y inactivo, consulte "Solución de problemas de un túnel
VPN de flapping" en la página 1504 .
Ejecute el show security ike security-associations comando. Compruebe que la dirección remota de
la VPN aparece en la lista y que el valor del State campo es UP.
• Si la dirección remota no se muestra o si el valor del campo es, analice los mensajes de ICR fase 1
en el respondedor para StateDOWN obtener una solución. Consulte KB10101.
1514
• Si el estado es UP , analice los mensajes ICR fase 2 del respondedor para obtener una solución.
Consulte KB10101.
Si aún no se resuelve el problema, analice los registros de fase 1 o fase 2 para el túnel VPN en el
dispositivo VPN iniciador. Si no puede encontrar su solución en los registros del lado iniciador,
continúe con el paso 4.
4. Recopile registros, opciones de seguimiento de flujo ICR opciones de seguimiento y, luego, abra un
caso con su representante de soporte técnico. Para obtener más información sobre:
in this section
Relacionado | 1514
Solución | 1515
Relacionado
Descripción
Revisar y analizar mensajes de estado de VPN relacionados con problemas causados por una ICR fase 2.
Síntomas
• El show security ipsec security-associations resultado del comando no enumera la dirección remota
de la VPN.
1515
Solución
La mejor forma de solucionar los problemas ICR fase 2 es revisando los mensajes de estado de VPN del
firewall de la respondedor.
El firewall de respondedor es el lado receptor de la VPN que recibe las solicitudes de configuración de
túnel. El firewall del iniciador es el lado del iniciador de la VPN que envía las solicitudes iniciales de
configuración de túnel.
1. Mediante el CLI, configure un archivo syslog, kmd-logs para los registros de estado de VPN en el
firewall del respondedor.
Consulte KB10097-Cómo configurar syslogpara mostrar mensajes de estado de VPN. A medida que
se trae el túnel VPN, los mensajes se capturan en ldm-logs .
2. Con el CLI, compruebe si hay mensajes de error de fase 2: show log kmd-logs
• Message:
Jul 10 16:14:30 210-2 kmd[52472]: IKE Phase-2: Failed to match the peer
proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.10.0/24),
p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=10.10.10.0/24)] for local ip:
2.2.2.1, remote peer ip:2.2.2.2
• Significado: la identidad de proxy del dispositivo par no coincide con la identidad de proxy
local.
• Acción: el ID de proxy debe ser exactamente inverso al ID de proxy configurado del par.
Consulte KB10124: Cómo solucionar el error de fase 2: No se pudo hacer coincidir los ID de
proxy par.
• Message:
Jul 16 21:14:20 kmd[1456]: IKE Phase-2 Failure: Quick mode - no proposal
chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2]
Jul 16 21:14:20 kmd[1456]: KMD_VPN_PV_PHASE2: IKE Phase-2 Failure: Quick
mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2]
Jul 16 21:14:20 kmd[1456]: IKE Phase-2: Negotiations failed. Local
gateway: 4.4.4.4, Remote gateway: 3.3.3.2
• Significado: el dispositivo que Junos OS no aceptaba ninguna de las propuestas de ICR fase 2
que envió ICR par especificado.
1516
• Acción: compruebe los elementos de configuración de VPN de fase 2 local. Los elementos de
la propuesta de fase 2 incluyen lo siguiente:
• Algoritmo de autenticación
• Algoritmo de cifrado
• Segundos de duración
• Protocolo
Puede cambiar la configuración local para aceptar al menos una de las propuestas de fase 2 del
par remoto, o comunicarse con el administrador del par remoto y organizar para las
configuraciones de ICR en ambos extremos del túnel para usar al menos una propuesta de fase 2
mutuamente aceptable.
• Message:
Sep 7 09:26:57 kmd[1393]: IKE negotiation failed with error: No proposal
chosen. IKE Version: 1, VPN: vpn1 Gateway: ike-gw, Local:
10.10.10.1/500, Remote: 10.10.10.2/500, Local IKE-ID: 10.10.10.1,
Remote IKE-ID: 10.10.10.2, VR-ID: 0
Acción: compruebe los elementos de configuración de VPN de fase 2 local. Los elementos de
la propuesta de fase 2 incluyen lo siguiente:
• Algoritmo de autenticación
• Algoritmo de cifrado
• Segundos de duración
1517
• Protocolo
• Proxy-ID mismatch
• Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy
IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24),
p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local
ip: 10.10.10.2, remote peer ip:10.10.10.1
• Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy
IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24),
p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local
ip: 10.10.10.2, remote peer ip:10.10.10.1
Acción: el ID de proxy debe ser una coincidencia inversa exacta del ID de proxy configurado
del par. Consulte KB10124: Cómo solucionar el error de fase 2: No se pudo hacer coincidir los
ID de proxy par.
Si la conexión VPN se establece correctamente, puede ver los siguientes mensajes en el syslog:
3. Si no pudo encontrar ningún mensaje de fase 2, continúe con el paso "4" en la página 1518 .
4. Mediante el CLI, revise las propuestas de fase 2 y confirme que la configuración coincide con las
propuestas de fase 2 configuradas por el par: show security ipsec
Instrucciones de configuración
AAA | 1524
advpn | 1531
certificado | 1544
archiva | 1579
ike-phase1-failures | 1616
ike-phase2-failures | 1618
IPSec-Directiva | 1635
varios SA | 1649
pública | 1654
power-mode-ipsec-qat | 1667
TCP-encap | 1713
Verify-path | 1737
xauth-atributos | 1752
1524
AAA
in this section
Sintaxis | 1524
Descripción | 1525
Opciones | 1525
Sintaxis
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
Nivel de jerarquía
Descripción
Especifica que la autenticación extendida se realizará además de ICR autenticación de la fase 1 para los
usuarios remotos que intenten tener acceso a un túnel VPN. Esta autenticación puede realizarse a través
de autenticación extendida (XAuth) o protocolo de autenticación extensible (EAP). Incluya un perfil de
acceso creado anteriormente, configurado con edit access profile la instrucción, para especificar el perfil
de acceso que se utilizará para la información de autenticación.
Opciones
access-profile Nombre del perfil de acceso creado anteriormente que se utilizará para la
profile-name autenticación extendida de los usuarios remotos que intentan tener acceso a una
VPN.
config-payload- Especifique la contraseña de cliente común para la carga de configuración IKEv2 con
password 1 a 128 caracteres.
client Especifique una AAA uername y contraseña de cliente para cada autenticador
configurado que tenga permiso para solicitar autenticaciones a los suplicantes.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1526
Descripción | 1530
Opciones | 1530
Sintaxis
address-assignment {
abated-utilization percentage;
abated-utilization-v6 percentage;
high-utilization percentage;
high-utilization-v6 percentage;
neighbor-discovery-router-advertisement ndra-name;
pool pool-name {
family {
inet {
dhcp-attributes {
boot-file boot-file-name;
boot-server boot-server-name;
domain-name domain-name;
grace-period seconds;
maximum-lease-time (seconds | infinite);
name-server ipv4-address;
netbios-node-type (b-node | h-node | m-node | p-node);
1527
next-server next-server-name;
option dhcp-option-identifier-code {
array {
byte [8-bit-value];
flag [ false| off |on |true];
integer [32-bit-numeric-values];
ip-address [ip-address];
short [signed-16-bit-numeric-value];
string [character string value];
unsigned-integer [unsigned-32-bit-numeric-value];
unsigned-short [16-bit-numeric-value];
}
byte 8-bit-value;
flag (false | off | on | true);
integer 32-bit-numeric-values;
ip-address ip-address;
short signed-16-bit-numeric-value;
string character string value;
unsigned-integer unsigned-32-bit-numeric-value;
unsigned-short 16-bit-numeric-value;
}
option-match {
option-82 {
circuit-id match-value {
range range-name;
}
remote-id match-value;
range range-name;
}
}
}
propagate-ppp-settings [interface-name];
propagate-settings interface-name;
router ipv4-address;
server-identifier ip-address;
sip-server {
ip-address ipv4-address;
name sip-server-name;
}
tftp-server server-name;
wins-server ipv4-address;
}
excluded-address;
1528
excluded-range range-name
high upper-limit;
low lower-limit;
}
range range-name {
high upper-limit;
low lower-limit;
}
host hostname {
hardware-address mac-address;
ip-address reserved-address;
user-name;
}
network network address;
xauth-attributes {
primary-dns ip-address;
primary-wins ip-address;
secondary-dns ip-address;
secondary-wins ip-address;
}
}
inet6 {
dhcp-attributes {
dns-server ipv6-address;
grace-period seconds;
maximum-lease-time (seconds | infinite);
option dhcp-option-identifier-code {
array {
byte [8-bit-value];
flag [ false| off |on |true];
integer [32-bit-numeric-values];
ip-address [ip-address];
short [signed-16-bit-numeric-value];
string [character string value];
unsigned-integer [unsigned-32-bit-numeric-value];
unsigned-short [16-bit-numeric-value];
}
byte 8-bit-value;
flag (false | off | on | true);
integer 32-bit-numeric-values;
ip-address ip-address;
short signed-16-bit-numeric-value;
string character string value;
1529
unsigned-integer unsigned-32-bit-numeric-value;
unsigned-short 16-bit-numeric-value;
}
propagate-ppp-settings [interface-name];
sip-server-address ipv6-address;
sip-server-domain-name domain-name;
}
excluded-address;
excluded-range range-name
high upper-limit;
low lower-limit;
}
host hostname {
hardware-address mac-address;
ip-address reserved-address;
user-name;
}
prefix ipv6-network-prefix;
range range-name {
high upper-limit;
low lower-limit;
prefix-length delegated-prefix-length;
}
xauth-attributes {
primary-dns-ipv6;
secondary-dns-ipv6;
}
}
link pool-name;
}
}
Nivel de jerarquía
[edit access]
1530
Descripción
La función de grupo de asignación de direcciones le permite crear distintos grupos con atributos
diferentes. Por ejemplo, varias aplicaciones cliente, como DHCPv4 o DHCPv6, pueden usar un grupo de
asignación de direcciones para proporcionar direcciones para clientes concretos.
Opciones
• host hostname: nombre por el cual se conoce un dispositivo conectado a la red en una red.
Información de versión
VÍNCULOS RELACIONADOS
advpn
in this section
Sintaxis | 1531
Descripción | 1532
Opciones | 1532
Sintaxis
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
1532
Nivel de jerarquía
Descripción
Opciones
sugerencia VPN peer que puede iniciar un intercambio de accesos directos para permitir a los socios
de acceso directo establecer asociaciones de seguridad dinámicas (SAs) entre sí. Especifica
disable que se deshabilite este rol en la puerta de enlace.
Los roles de sugerencias y socios están habilitados advpn si se configura sin configurar
suggester explícitamente ni partner palabras clave. No se admiten los roles suggest y
Partner en la misma puerta de enlace. Debe configurarlo disable de forma suggester
explícita partner con la palabra clave or para deshabilitar esa función concreta. No puede
deshabilitar los roles de sugeridos y asociados en la misma puerta de enlace.
exitosa VPN peer que puede recibir un intercambio de accesos directos sugerir que debe
establecer SA dinámicas con otro interlocutor. Especifica disable que se deshabilite este rol
en la puerta de enlace.
límite de Número máximo de túneles de accesos directos que se pueden crear con
conexión distintos socios de acceso directo que utilizan una puerta de enlace
determinada. El número máximo, que también es el valor predeterminado,
depende de la plataforma.
Información de versión
Instrucción que se introduce en Junos OS versión 12.3 X48-D10. Intervalo para la idle-threshold opción,
así como el intervalo y el valor predeterminado idle-time para la opción que se ha revisado en Junos os
versión 12.3 x48-D20.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1534
Descripción | 1534
Opciones | 1535
Sintaxis
Nivel de jerarquía
Descripción
Establezca el orden en el que el Junos OS prueba diferentes métodos de autenticación al comprobar que
un cliente puede tener acceso a los dispositivos. Para cada intento de inicio de sesión, el software
intenta los métodos de autenticación en orden, del primero al último.
1535
Opciones
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1536
Descripción | 1537
Opciones | 1537
Sintaxis
auto-re-enrollment {
certificate-id name {
ca-profile-name ca-profile-name;
challenge-password challenge-password;
re-enroll-trigger-time-percentage re-enroll-trigger-time-percentage;
re-generate-keypair;
scep-digest-algorithm {
(md5 | sha1);
}
scep-encryption-algorithm {
(des | des3);
}
}
cmpv2 {
certificate-id certificate-id-name {
ca-profile-name ca-profile-name;
challenge-password password;
re-enroll-trigger-time-percentage percentage;
re-generate-keypair;
}
}
scep {
certificate-id certificate-id-name {
ca-profile-name ca-profile-name;
challenge-password password;
re-enroll-trigger-time-percentage percentage;
re-generate-keypair;
}
1537
}
}
Nivel de jerarquía
Descripción
Opciones
• Varían del 1 al 99
Información de versión
Instrucción modificada en Junos OS versión 9.0. cmpv2 y scep opciones agregadas en Junos OS versión
15.1X49-D40.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1539
Descripción | 1540
Opciones | 1540
Sintaxis
ca-profile ca-profile-name {
administrator {
e-mail-address e-mail-address;
}
ca-identity ca-identity ;
enrollment {
retry number;
retry-interval seconds;
url url-name;
}
1540
proxy-profile;
revocation-check;
routing-instance routing-instance-name ;
source-address ip-address;
}
Nivel de jerarquía
Descripción
Configurar el perfil de la entidad de certificación (CA). El AC perfil contiene el nombre y la dirección URL
de AC o AR, así como la configuración del temporizador de reintentos.
Opciones
entrenamiento Especifique los parámetros de inscripción para una entidad de certificación (CA).
• Varían 0 a 1080
• Predeterminada 10
1541
Dirección de Especifica una dirección IPv4 o IPv6 de origen que se utilizará en lugar de la
origen dirección IP de la interfaz de salida para las comunicaciones con servidores
externos. Los servidores externos se usan para la inscripción de certificados y la
reinscripción usando el protocolo de inscripción de certificados simple (SCEP) o el
protocolo de administración de certificados versión 2 (CMPv2), descargando listas
de revocación de certificados (CRL) mediante HTTP o LDAP, o comprobando Estado
de revocación de certificados con el protocolo de estado de certificados en línea
(OCSP). Si no se especifica esta opción, se utilizará como dirección de origen la
dirección IP de la interfaz de salida.
1542
Información de versión
Instrucción modificada en Junos OS versión 8,5. La opción ca-identity soporte para se agrega en Junos
OS versión 11,1. Soporte para ocsp y use-ocsp opciones agregadas en Junos os versión 12.1 x46-D20.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1543
Descripción | 1543
Opciones | 1543
Sintaxis
certificate {
no-expiry-warning;
no-pin-request-per-connection;
warn-before-expiry days;
}
Nivel de jerarquía
Descripción
Opciones
• Predeterminada 60 días
• Varían 1 a 90
1544
protección
Información de versión
VÍNCULOS RELACIONADOS
certificado
in this section
Sintaxis | 1544
Descripción | 1545
Opciones | 1545
Sintaxis
certificate {
local-certificate certificate-id;
peer-certificate-type (pkcs7 | x509-signature);
policy-oids oid;
trusted-ca {
1545
ca-profile ca-profile-name;
trusted-ca-group trusted-ca-group-name;
}
}
Nivel de jerarquía
Descripción
Especifique el uso de un certificado digital para autenticar el iniciador y el destinatario de la red privada
virtual (VPN).
Opciones
• x509-signature: el X509 es un estándar ITU-T para infraestructuras de clave pública. Este es el valor
predeterminado.
• ca-profile ca-profile-name: especifique un nombre para los AC perfiles. Una entidad emisora de
certificados es una entidad que emite certificados digitales que ayudan a establecer una conexión
segura entre los interlocutores a través de la validación de certificados.
Información de versión
Instrucción introducida en la Junos OS versión 8.5. policy-oids opción agregada en la Junos OS versión
12.3X48-D10. Soporte para trusted-ca la opción añadida en Junos os versión 18.1 R1.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1547
Descripción | 1548
Opciones | 1548
Sintaxis
client-config name {
biometric-authentication;
certificate {
no-expiry-warning;
no-pin-request-per-connection;
warn-before-expiry days;
}
connection-mode (always | manual);
dead-peer-detection {
interval seconds;
threshold threshold;
}
no-dead-peer-detection;
no-eap-tls;
no-tcp-encap;
windows-logon {
auto-dialog-open;
disconnect-at-logoff;
domain domain;
eap-auth;
flush-credential-at-logoff;
lead-time-duration seconds;
1548
Nivel de jerarquía
Descripción
Defina Juniper Secure Connect de configuración de cliente remoto. Los parámetros definen cómo
Juniper Secure Connect cliente establece un túnel VPN con su dispositivo de seguridad.
Opciones
• Valores
• Predeterminada manual
• Predeterminada 60 segundos
• Predeterminada 5
protección
Información de versión
VÍNCULOS RELACIONADOS
clientes (seguridad)
in this section
Sintaxis | 1550
Descripción | 1551
Opciones | 1551
Sintaxis
clients configuration-name {
ipsec-vpn vpn-name;
remote-exceptions ip-address/mask;
remote-protected-resources ip-address/mask;
user username;
user-groups user-group-name;
}
Nivel de jerarquía
Descripción
Crear una configuración de cliente para la característica VPN dinámica. En la configuración, especifique
un nombre para la configuración, haga referencia a una configuración VPN estándar para utilizarla con
las negociaciones IPsec, especifique qué recursos proteger, defina las excepciones y enumere los
usuarios a los que se aplica la configuración VPN dinámica.
Opciones
IPSec-VPN Utilice esta instrucción para especificar qué configuración de VPN de IPsec debe
usar la característica VPN dinámica para proteger el tráfico.
excepciones remotas Utilice esta instrucción para especificar excepciones en la lista de recursos
protegidos remotos para la configuración VPN dinámica especificada. El tráfico
hacia la dirección IP especificada no pasará por el túnel VPN dinámico y, por lo
tanto, no estará protegido por las políticas de seguridad del firewall.
recursos protegidos Utilice esta instrucción para especificar qué recursos proteger mediante la
de forma remota característica VPN dinámica. El tráfico hacia el recurso protegido pasará por el
túnel de VPN dinámico especificado y, por lo tanto, estará protegido por las
políticas de seguridad del firewall.
usuario Especifique los usuarios que pueden tener acceso a la configuración de VPN
dinámica seleccionada.
Grupo de usuarios Especifique los usuarios que pueden tener acceso a la configuración de VPN
dinámica seleccionada.
Información de versión
VÍNCULOS RELACIONADOS
CRL (seguridad)
in this section
Sintaxis | 1552
Descripción | 1553
Opciones | 1553
Sintaxis
crl {
disable {
on-download-failure;
}
refresh-interval hours;
url url-name;
}
1553
Nivel de jerarquía
Descripción
Configure la lista de revocación de certificados (CRL). Una CRL es una lista con marcas de hora que
identifica certificados revocados, firmados por una entidad emisora y puestos a disposición de los
homólogos IPsec participantes periódicamente.
Opciones
url-name Nombre de la ubicación desde la que se va a recuperar la lista CRL a través de HTTP
o el Protocolo compacto de acceso a directorios (LADP). Puede especificar una
dirección URL para cada perfil de CA configurado. De forma predeterminada, no se
especifica ninguna ubicación. Utilice un nombre de dominio completo (FQDN) o una
dirección IP y, opcionalmente, un número de puerto. Si no se especifica ningún
número de puerto, el puerto 80 se utiliza para HTTP y el puerto 443 se utiliza para
LDAP.
Información de versión
Instrucción introducida en Junos OS versión 8,5. disable la opción se introduce en Junos OS versión 9,0.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1554
Descripción | 1555
Opciones | 1555
Sintaxis
dead-peer-detection {
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
1555
Nivel de jerarquía
Descripción
Habilite el dispositivo para usar la detección de pares inactivos (DPD). DPD es un método que utilizan
los dispositivos para comprobar la existencia actual y disponibilidad de los homólogos de IPsec. Un
dispositivo realiza esta comprobación mediante el envío de cargas de notificación de ICR fase 1 cifradas
(mensajes R-U-at) a un interlocutor que espera las reconocimientos de DPD (mensajes R-U-in-ACK) del
interlocutor.
Opciones
• Predeterminada 10 segundos
• Varían 2 a 60 segundos
siempre- Indica al dispositivo que envíe solicitudes de detección de sistemas no respondes (DPD)
enviar con independencia de si hay tráfico IPsec saliente hacia el mismo nivel.
adecuada Enviar mensajes de detección de elementos de mismo nivel (DPD) si no hay ICR entrante
de tráfico de IPsec dentro del intervalo configurado después de enviar los paquetes
salientes al interlocutor. Este es el modo de DPD predeterminado.
• Predeterminada 5
• Varían 1 a 5
1556
Información de versión
Instrucción introducida en Junos OS versión 8,5. Compatibilidad con las optimized opciones probe-idle-
tunnel y agregadas en Junos os versión 12.1 x46-D10.
VÍNCULOS RELACIONADOS
Descripción de AutoVPN
Introducción a IPsec VPN
in this section
Sintaxis | 1557
Descripción | 1557
Opciones | 1557
Sintaxis
dead-peer-detection {
always-send;
interval seconds;
threshold number;
}
Nivel de jerarquía
Descripción
Habilite el dispositivo para usar la detección de pares inactivos (DPD). DPD es un método que utilizan
los dispositivos para comprobar la existencia actual y disponibilidad de los homólogos de IPsec. Un
dispositivo realiza esta comprobación mediante el envío de cargas de notificación de ICR fase 1 cifradas
(mensajes R-U-at) a un interlocutor que espera las reconocimientos de DPD (mensajes R-U-in-ACK) del
interlocutor.
Opciones
always-send: permite enviar sondeos periódicamente independientemente del tráfico de datos entrante
y saliente.
interval seconds: permite especificar el tiempo de intervalo en segundos entre los mensajes del sondeo
DPD.
• Varían de 10 a 60 segundos
• Predeterminada 10 segundos
• Varían 1 a 5
1558
• Predeterminada 5
Información de versión
La compatibilidad con el servidor VPN de grupo que se agregó en Junos OS versión 15.1 X49-D30 para
vSRX.
VÍNCULOS RELACIONADOS
descifrado: errores
in this section
Sintaxis | 1559
Descripción | 1559
Predeterminada | 1559
Opciones | 1559
Sintaxis
decryption-failures {
threshold value;
}
Nivel de jerarquía
Descripción
Producir una alarma de seguridad después de superar un número especificado de errores de descifrado.
Predeterminada
Opciones
failures: número de errores de descifrado hasta los cuales no se activa una alarma. Cuando se supera el
número configurado, se produce una alarma.
• Predeterminada 1000
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1560
Descripción | 1561
Sintaxis
default-profile default-profile;
1561
Nivel de jerarquía
Descripción
Configure el perfil predeterminado. En su dispositivo de seguridad, debe especificar uno de los perfiles
de acceso remoto como perfil predeterminado.
protección
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1562
Descripción | 1562
1562
Opciones | 1562
Sintaxis
Nivel de jerarquía
Descripción
Especifique el grupo Diffie-Hellman ICR. El dispositivo no elimina las SA IPsec existentes cuando
actualiza la dh-group configuración en la propuesta de ICR.
Opciones
• group19— Módulos de grupos de curva elíptica aleatorios de 256 bits un algoritmo prime (grupos
ECP).
• group24— Grupo MODP de 2048 bits con subgrupo de orden principal de 256 bits.
Recomendamos que utilice group14, Group15, group16, group19, group20 o group21 en lugar del
Grupo1, grupo2 o group5.
Información de versión
Soporte para group19, group20y group24 opciones agregadas en Junos os de la versión 12.1 x45-D10.
Compatibilidad con group19 las group20 opciones y agregadas en Junos os versión 15.1-D70 para
vSRX.
group15, group16 y las opciones group21 introducidas en Junos OS versión 19.1R1 dispositivos serie
SRX.
A partir Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las opciones
NOT RECOMMENDEDgroup1group2 CLI, group5 y group14 .
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1564
Descripción | 1564
Opciones | 1565
Sintaxis
Nivel de jerarquía
Descripción
Especifique un nombre completo como identificador de la puerta de enlace remota con una dirección IP
dinámica.
1565
Opciones
Container- Valor y campo DN con el que se va a hacer coincidir. Por ejemplo, cn= admin, ou= ENG,
String o= ejemplo, dc= net. Especifique uno o más campos de nombre distinguido (DN) y pares
de valores que deben coincidir con la DN en el certificado digital del par VPN. El orden
de los campos y sus valores deben coincidir exactamente con la DN en el certificado
digital del par.
Agregue un espacio entre cada par campo y valor. Por ejemplo, edit security ike gateway
jsr_gateway dynamic distinguished-name container o=example, dc=net.
cadena de Pares de campo DN y valor con el que se va a hacer coincidir. Por ejemplo, cn= admin,
caracteres ou= ENG, o= ejemplo, dc= net. Especifique uno o más campos de nombre distinguido
comodín
(DN) y pares de valores que deben coincidir con la DN en el certificado digital del par
VPN. El campo y el valor configurados deben coincidir con el DN en el certificado digital
del par, pero el orden de los campos en la DN no importa.
Agregue un espacio entre cada par campo y valor. Por ejemplo, edit security ike gateway
jsr_gateway dynamic distinguished-name wildcard o=example, dc=net.
A partir de Junos OS versión 19.4 R1, ahora puede configurar únicamente un atributo
DN dinámico entre container-string y wildcard-string en [edit security ike gateway
gateway_name dynamic distinguished-name] la jerarquía. Si intenta configurar el
segundo atributo después de configurar el primer atributo, el primero se sustituye por el
segundo atributo. Antes de actualizar el dispositivo, debe eliminar uno de los atributos si
ha configurado ambos atributos.
Información de versión
VÍNCULOS RELACIONADOS
Perfil de distribución
in this section
Sintaxis | 1566
Descripción | 1567
Opciones | 1568
Sintaxis
Nivel de jerarquía
[edit security]
1567
Descripción
La opción se introduce para darle al administrador una opción para definir un perfil para manejar
distribution-profile túneles asociados con un objeto VPN determinado. Si los perfiles predeterminados,
como default-spc3-profile o no están seleccionados, se puede crear un perfil nuevo default-spc2-profile
definido por el usuario. En un perfil, debe mencionar la ranura del concentrador de PIC flexible (FPC) y la
ranura PIC. Cuando este perfil se asocia con un objeto VPN, se distribuirán todos los túneles que
coincidan entre estas CPC. El thread-id es un valor opcional. Si especifica un ID de subproceso, el túnel
se distribuye en el hilo especificado.
A partir de la versión 20.2R1 de Junos OS, cuando se agrega, cambia o elimina el ID de subproceso del
perfil de distribución, todos los túneles que forman parte del perfil de distribución modificado anclado
en un miembro de SPU modificado del perfil de distribución se desmontan y se negocian de nuevo.
Consulte Tabla 112 en la página 1567 para ver si hay cambios catastróficos cuando cambie la
configuración del perfil de distribución.
Agregue un perfil de distribución nuevo a la VPN. Todos los túneles que forman parte de este
nuevo perfil de distribución se bajan y se
negocian de nuevo.
Eliminar información de SPU de un perfil de Solo aquellos túneles que forman parte del perfil
distribución de la VPN. de distribución que se modifica y ancla a una SPU
eliminada se bajan y se negocian de nuevo.
Agregue el primer ID de subproceso a una parte Todos los túneles que forman parte de este perfil
de SPU del perfil de distribución. de distribución se bajan y se negocian de nuevo.
Eliminar un ID de subproceso de una parte de Solo aquellos túneles que forman parte del perfil
SPU del perfil de distribución. de distribución modificado y anclados a la SPU
eliminada se bajan y se negocian de nuevo.
Cambie el nombre del perfil de distribución de Todos los túneles que forman parte de este perfil
profileA a profileB en VPN. se bajan y se negocian de nuevo.
Opciones
Información de versión
dinámica (seguridad)
in this section
Sintaxis | 1569
Descripción | 1570
Opciones | 1570
Sintaxis
dynamic {
connections-limit number;
distinguished-name {
container container-string;
wildcard wildcard-string
}
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
user-at-hostname e-mail-address;
}
1570
Nivel de jerarquía
Descripción
Especifique el identificador para la puerta de enlace remota con una dirección IPv4 o IPv6 dinámica. Use
esta instrucción para configurar una VPN con una puerta de enlace que tenga una dirección IPv4 o IPv6
sin especificar.
Opciones
límite de Configure el número de conexiones simultáneas que admite el perfil de grupo. Cuando
conexiones se alcanza el número máximo de conexiones, ningún extremo de red privada virtual
(VPN) más marcado de los usuarios que intentan tener acceso a una VPN de IPsec
pueden comenzar las negociaciones de Intercambio de claves por red (ICR). Esta
configuración se aplica a SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500,
SRX4100, SRX4200, y SRX4600 dispositivos e instancias de vSRX, así como a SRX5400,
SRX5600 y los dispositivos de SRX5800 configurados para AutoVPN.
nombre Especifique un nombre completo como identificador de la puerta de enlace remota con
distinguido una dirección IP dinámica.
host Nombre por el que se conoce a un dispositivo conectado a la red en una red. Un nombre
de dominio completo (FQDN) o un FQDN parcial que se puede hacer coincidir con el
certificado de PKI X.509 de un par. Un FQDN parcial se hace coincidir con la parte
superior derecha del campo de asunto alternativo del certificado del dispositivo par. Por
ejemplo, el example.net parcial de FQDN puede coincidir con los dispositivos con
host1.example.net o host2.example.net en el campo de asunto alternativo de sus
certificados. Tenga en cuenta que el example.net parcial de FQDN no coincide con
host1.example.network.com o host2.net.com porque example.net no es el valor que se
encuentra más a la derecha en el campo de asunto alternativo. Para AutoVPN, puede
usar un FQDN parcial combinado con IKE-User-Type Group-IKE-ID para identificar un
usuario o par remoto específico cuando hay varios interlocutores que comparten un
nombre de dominio común.
1571
IKE-tipo de Configure el tipo de ICR usuario para una conexión de acceso remoto.
usuario
• Valores
Información de versión
Instrucción modificada en Junos OS versión 8,5. Soporte para la inet6 opción agregada en Junos OS
versión 11,1.
VÍNCULOS RELACIONADOS
VPN dinámico
in this section
Sintaxis | 1572
Descripción | 1573
Opciones | 1573
Sintaxis
dynamic-vpn {
access-profile profile-name;
clients configuration-name {
ipsec-vpn vpn-name;
remote-exceptions ip-address/mask;
remote-protected-resources ip-address/mask;
user username;
user-groups user-group-name;
}
config-check;
1573
force-upgrade;
interface;
traceoptions {
file <filename> <files files> <match match> <size size> <(world-readable
| no-world-readable)>;
flag {
all;
}
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Nivel de jerarquía
[edit security]
Descripción
Configure la característica VPN dinámica. La característica VPN dinámica simplifica el acceso remoto ya
que permite a los usuarios crear túneles VPN de IPsec sin tener que configurar manualmente las
opciones en sus PC o equipos portátiles. Esta característica es compatible con SRX300, SRX320,
SRX340, SRX345 y dispositivos de SRX550HM.
Opciones
Perfil de acceso Especifique el perfil de acceso que se utilizará para la autenticación extendida de los
usuarios remotos que intenten descargar el administrador de acceso. Esta
característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos
de SRX550HM.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1575
Descripción | 1575
Opciones | 1576
Sintaxis
Nivel de jerarquía
Descripción
Configure un algoritmo de cifrado para una propuesta de ICR. El dispositivo no elimina las SA IPsec
existentes cuando actualiza la encryption-algorithm configuración en la propuesta de ICR.
1576
Opciones
3des-cbc Tiene un tamaño de bloque de 24 bytes; el tamaño de la clave es 192 bits de longitud.
aes-128-cbc Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado (AES).
aes-128-gcm Algoritmo de cifrado autenticado AES 128 bits solo compatible con IKEv2. Cuando se
utiliza esta opción, aes-128-gcm debe configurarse en eledit security ipsec proposal
proposal-namenivel de jerarquía [], authentication-algorithm y la opción no debe
configurarseedit security ike proposal proposal-nameen el nivel de jerarquía [].
aes-256-gcm Algoritmo de cifrado autenticado AES 256 bits solo compatible con IKEv2. Cuando se
utiliza esta opción, aes-256-gcm debe configurarse en eledit security ipsec proposal
proposal-namenivel de jerarquía [], authentication-algorithm y la opción no debe
configurarseedit security ike proposal proposal-nameen el nivel de jerarquía [].
Información de versión
A partir de Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las NOT
RECOMMENDED CLI opciones 3des-cbc y des-cbc .
1577
VÍNCULOS RELACIONADOS
cifrado: errores
in this section
Sintaxis | 1577
Descripción | 1578
Predeterminada | 1578
Opciones | 1578
Sintaxis
encryption-failures {
threshold value;
}
Nivel de jerarquía
Descripción
Producir una alarma de seguridad después de superar un número especificado de errores de cifrado.
Predeterminada
Opciones
failures: número de errores de cifrado hasta los cuales no se activa una alarma. Cuando se supera el
número configurado, se produce una alarma.
• Predeterminada 1000
Información de versión
VÍNCULOS RELACIONADOS
archiva
in this section
Sintaxis | 1579
Descripción | 1579
Opciones | 1580
Sintaxis
file <filename> <files files> <match match> <size size> <(world-readable | no-
world-readable)>;
Nivel de jerarquía
Descripción
Configure las opciones del archivo de seguimiento. Nombre del archivo que va a recibir el resultado de la
operación de seguimiento.
1580
Opciones
• Predeterminada 3
• Varían 2 a 1000
no legibles para el mundo No permitir que ningún usuario Lea el archivo de registro
• Predeterminada 128000
legibles para el mundo Permitir que cualquier usuario Lea el archivo de registro
rastre
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1581
Descripción | 1582
Opciones | 1582
Sintaxis
gateway gateway-name {
ike-policy policy-name;
local address ip-address;
local-identity {
(hostname hostname | inet ip-address | inet6 ipv6-address | user-at-
hostname e-mail-address);
}
remote-identity {
(hostname hostname | inet ip-address | user-at-hostname e-mail-address);
}
routing-instance routing-instance;
server-address ip-address;
}
1582
Nivel de jerarquía
Descripción
Configure ICR puerta de enlace para el miembro de grupo VPN. Una ICR de enlace inicia y termina las
conexiones de red entre un firewall y un dispositivo de seguridad.
Opciones
identidad local-identidad Especifique la identidad de ICR local que desea enviar en el intercambio con
local el interlocutor de destino para establecer la comunicación.
Información de versión
Instrucción introducida en Junos OS versión 10,2. Soporte para la routing-instance opción agregada en
Junos os versión 15.1 a X49-D30 para vSRX.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1584
Descripción | 1584
Opciones | 1585
Sintaxis
gateway gateway-name {
address ip-address;
dead-peer-detection {
always-send;
interval seconds;
threshold number;
}
dynamic {
(hostname hostname | inet ip-address | user-at-hostname e-mail-address);
}
ike-policy policy-name;
local-address ip-address;
local-identity {
(hostname hostname | inet ip-address | user-at-hostname e-mail-address);
}
remote-identity {
(hostname hostname | inet ip-address | user-at-hostname e-mail-address);
}
routing-instance routing-instance;
}
Nivel de jerarquía
Descripción
Opciones
dynamic: especifique el identificador para la puerta de enlace remota con una dirección IPv4 dinámica.
Use esta instrucción para configurar una VPN con una puerta de enlace que tenga una dirección IPv4 no
especificada.
• inet ip-address : especifique una dirección IPv4 para identificar el par dinámico.
No se admite la configuración para servidores VPN de grupo o miembros cuando la puerta de enlace
remota tiene una dirección dinámica y el método de autenticación es . — Especifique el nombre de mode
main la política ICR de pre-shared-keysike-policy policy-name acceso.
local-address ip-address : configure la dirección IP de origen que utiliza el servidor VPN del grupo
cuando se comunica con un miembro de grupo o un servidor raíz. Esta instrucción se utiliza
normalmente cuando hay varias direcciones IP enlazadas a una interfaz.
local-identity: especifique la identidad de ICR local que se debe enviar en el intercambio con el par de
destino para establecer una comunicación. Si no configura una identidad local, el dispositivo usará de
forma predeterminada el IPv4 correspondiente al extremo local.
remote-identity: permite especificar la identidad ICR del par de destino. Si no configura una identidad
remota, el dispositivo usa, de forma predeterminada, la dirección IPv4 que corresponde al interlocutor
de destino.
Información de versión
La compatibilidad con el servidor VPN de grupo que se agregó en Junos OS versión 15.1 X49-D30 para
vSRX.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1587
Descripción | 1589
Opciones | 1589
1587
Sintaxis
gateway gateway-name {
aaa {
access-profile access-profile {
config-payload-password config-payload-password;
}
client {
password;
username;
}
}
address [ip-address-or-hostname];
advpn {
suggester {
disable;
}
partner {
connection-limit number;
idle-threshold packets/sec;
idle-time seconds;
disable;
}
}
dead-peer-detection {
(always-send | optimized | probe-idle-tunnel);
interval seconds;
threshold number;
}
dynamic {
connections-limit number;
distinguished-name {
container container-string;
wildcard wildcard-string
}
1588
hostname domain-name;
ike-user-type (group-ike-id | shared-ike-id);
inet ip-address;
inet6 ipv6-address;
reject-duplicate-connection;
user-at-hostname e-mail-address;
}
external-interface external-interface-name;
fragmentation {
disable;
size bytes;
}
general-ikeid;
ike-policy policy-name;
local-address (ipv4-address | ipv6-address);
local-identity {
(distinguished-name | hostname hostname | inet ip-address | inet6 ipv6-
address | key-id | user-at-hostname e-mail-address);
}
nat-keepalive seconds;
no-nat-traversal;
remote-identity {
(distinguished-name <container container-string> <wildcard wildcard-
string> | hostname hostname | inet ip-address | inet6 ipv6-address | key-id |
user-at-hostname e-mail-address);
}
tcp-encap-profile profile-name;
version (v1-only | v2-only);
}
Nivel de jerarquía
Descripción
Opciones
• Valores
External- Nombre de la interfaz que se va a usar para enviar tráfico al VPN de IPsec.
interface Especifique la interfaz de salida de ICR SA. Esta interfaz está asociada con una zona
que actúa como su operador, lo que proporciona seguridad de Firewall para ella.
dirección local Dirección IP local para las negociaciones de ICR. Especifique la dirección de la
puerta de enlace local. Se pueden configurar varias direcciones de la misma familia
de direcciones en una interfaz física externa a una VPN peer. Si es así, es
recomendable que local-address esté configurado. Si solo hay una dirección IPv4 y
otra IPv6 configuradas en una interfaz física externa local-address , la configuración
no es necesaria.
El local-address valor debe ser una dirección IP configurada en una interfaz del
dispositivo de serie SRX. Es recomendable que local-address pertenezca a la interfaz
externa de la puerta de enlace de ICR. Si local-Address no pertenece a la interfaz
externa de la puerta de enlace de ICR, la interfaz debe estar en la misma zona que la
interfaz externa de la puerta de enlace de ICR y debe configurarse una directiva de
seguridad intra-Zone para permitir el tráfico. El local-address valor y la dirección de
puerta de enlace de ICR remoto deben estar en la misma familia de direcciones, ya
sea IPv4 o IPv6.
identidad local Especifique la identidad de ICR local que desea enviar en el intercambio con el
interlocutor de destino para establecer la comunicación.
keepalive de Especifique el intervalo en el que TDR se pueden enviar los paquetes de KeepAlive
NAT (segundos) para que continúe TDR la traducción. El valor predeterminado cambió de
5 segundos a 20 segundos en Junos OS versión 12.1 X46-D10.
• Predeterminada 20
• Varían 1 a 300
encap TCP-perfil Especifique el perfil de encapsulación TCP que se utilizará para las conexiones TCP
de los clientes de acceso remoto.
• Valores
• Solo v1: la conexión se debe iniciar mediante ICR versión 1. Este es el valor
predeterminado.
Información de versión
Instrucción introducida en Junos OS versión 8,5. Compatibilidad con direcciones IPv6 agregadas en
Junos OS versión 11,1. La inet6 opción agregada en Junos OS versión 11,1. Compatibilidad con la advpn
opción agregada en Junos os versión 12.3 X48-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1592
Descripción | 1592
Opciones | 1593
Sintaxis
global-options {
auth-token-valid-time seconds;
}
Nivel de jerarquía
Descripción
Defina parámetros globales para Juniper Secure Connect configuración de acceso remoto.
1593
Opciones
• Predeterminada 60 segundos
• Varían 1 a 300
protección
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1594
Descripción | 1595
Opciones | 1595
Sintaxis
group name {
anti-replay-time-window milliseconds;
description description;
group-id number;
ike-gateway gateway-name;
ipsec-sa name {
match-policy policy-name {
destination ip-address/netmask;
destination-port number;
protocol number;
source ip-address/netmask;
source-port number;
}
proposal proposal-name;
}
member-threshold number;
server-cluster {
ike-gateway gateway-name;
retransmission-period seconds;
server-role (root-server | sub-server);
}
server-member-communication {
certificate certificate-id;
communication-type (unicast);
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
number-of-retransmission number;
retransmission-period seconds;
sig-hash-algorithm (sha-256 | sha-384);
}
}
Nivel de jerarquía
Descripción
Configure la VPN del grupo en el servidor de grupo. Group VPNv2 es compatible con SRX300, SRX320,
SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de
vSRX.
Opciones
Recomendamos que se configure NTP en dispositivos de VPNv2 de grupo para garantizar el correcto
funcionamiento del antireplay.
Los miembros del grupo que se ejecutan en vSRX instancias de una máquina host en la que el
hipervisor se está ejecutando bajo una carga pesada pueden experimentar problemas que pueden
anti-replay-time-window corregirse volviendo a configurar el valor. Si no se van a transferir los datos
que coinciden con la directiva IPsec en el miembro show security group-vpn member ipsec statistics
del grupo, compruebe el resultado en busca de errores D3P. Asegúrese de que el NTP funciona
correctamente. Si hay errores, ajuste el anti-replay-time-window valor.
• group-id number: identificador para la VPN de este grupo. Especifique un valor entre 1 y
4.294.967.295.
• ike-gateway gateway-name: defina el miembro del grupo para la negociación de fase 1. Puede haber
varias instancias de esta opción configuradas. Cuando un miembro del grupo envía su solicitud de
registro al servidor, el servidor comprueba si el miembro está configurado para el grupo.
• ipsec-sa name: configure lasAS del grupo para que se descarguen a los miembros. Puede haber varias
SA de grupo descargadas a miembros del grupo.
El número máximo que puede configurar para un grupo depende de la plataforma del servidor de
grupo. Además, la suma de los member-threshold números de todos los grupos configurados en el
servidor del grupo no debe superar la capacidad de la plataforma del servidor de grupo.
1596
Información de versión
VÍNCULOS RELACIONADOS
VPN de grupo
in this section
Sintaxis | 1597
Descripción | 1598
Opciones | 1598
1597
Sintaxis
group-vpn {
member {
ike {
gateway gateway-name;
policy;
proposal;
traceoptions;
}
ipsec {
vpn vpn-name {
df-bit (clear | copy | set);
exclude rule rule-name {
source-address ip-address/mask;
destination-address ip-address/mask;
application application;
}
fail-open rule rule-name {
source-address ip-address/mask;
destination-address ip-address/mask;
application application;
}
group id;
group-vpn-external-interface interface;
ike-gateway gateway-name;
recovery-probe;
}
}
}
server {
group name {
anti-replay-time-window milliseconds;
description description;
group-id number;
1598
ike-gateway gateway-name;
ipsec-sa;
member-threshold number;
server-cluster;
}
ike {
gateway gateway-name;
policy;
proposal;
}
ipsec {
proposal proposal-name;
}
traceoptions (Security Group VPN);
}
}
Nivel de jerarquía
[edit security]
Descripción
Configurar VPN de grupo en el grupo VPNv2. El grupo VPNv2 extiende la arquitectura IPsec para
admitir SA que comparten un grupo de dispositivos de seguridad. Con VPNv2 de grupo, la conectividad
de cualquier medio a cualquier se consigue conservando las direcciones IP originales de origen y destino
en el encabezado exterior.
Opciones
Propuesta Definir una propuesta de ICR. Puede configurar una o más ICR propuestas. Cada
propuesta es una lista de atributos ICR para proteger la ICR conexión entre el
host ICR y su par.
traceoptions Configure las opciones de seguimiento de VPN de grupo para ayudar a solucionar
problemas ICR problemas del servidor.
virtuales Configure VPN IPsec para el intercambio de fase 2 en el miembro del grupo.
nombre de puerta Defina el miembro del grupo para la negociación de la fase 1. Puede haber varias
de enlace de ike- instancias de esta opción configuradas. Cuando un miembro del grupo envía su
gateway
solicitud de registro al servidor, el servidor comprueba si el miembro está
configurado para el grupo.
IPSec-SA Configure las SA del grupo para que se descarguen a los miembros. Puede haber
varias SA de grupo descargadas a miembros del grupo.
umbral de miembro Especifique el número máximo de miembros de VPN de grupo que se pueden
aceptar en el grupo. No hay un número predeterminado.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1601
Descripción | 1601
Opciones | 1602
Sintaxis
ike {
gateway name {
ike-policy policy-name;
version (v1-only | v2-only);
}
policy name {
description description;
pre-shared-key (ascii-text ascii-text | hexadecimal hexadecimal);
proposals [ proposals ... ];
}
proposal name {
authentication-algorithm (md5 | sha-256 | sha-384 | sha-512 | sha1);
authentication-method (dsa-signatures | ecdsa-signatures-256 | ecdsa-
signatures-384 | ecdsa-signatures-521 | pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group14 | group15 | group16 | group19 | group2 |
group20 | group21 | group24 | group5);
encryption-algorithm (aes-256-gcm);
lifetime-seconds seconds;
}
}
Nivel de jerarquía
[edit security]
Descripción
Defina Intercambio de claves por red configuración de red (ICR) para la función de alta disponibilidad.
ICR es un protocolo de administración de claves que crea SLA dinámicos; negocia SA para IPsec. Una
ICR configuración define los algoritmos y claves que se utilizan para establecer una conexión segura con
una puerta de enlace de seguridad par.
1602
Opciones
• Valores
• Solo v2: la conexión se debe iniciar mediante ICR versión 2. Para la función
Multinodo de alta disponibilidad, debe configurar la versión ICR como v2-only .
Información de versión
VÍNCULOS RELACIONADOS
IKE (seguridad)
in this section
Sintaxis | 1603
Descripción | 1606
Opciones | 1606
Sintaxis
ike {
gateway (Security IKE) name {
( address | dynamic (Security) distinguished-name (Security) <
container> < wildcard> hostname inet inet6 user-at-hostname <connections-limit
connections-limit> <ike-user-type (group-ike-id | shared-ike-id)> <reject-
duplicate-connection>);
aaa {
access-profile;
client password password username username;
}
advpn {
partner {
connection-limit connection-limit;
1604
disable;
idle-threshold idle-threshold;
idle-time seconds;
}
suggester {
disable;
}
}
dead-peer-detection (always-send | optimized | probe-idle-tunnel);
external-interface external-interface;
fragmentation {
disable;
size size;
}
general-ikeid;
ike-policy;
local-address;
local-identity (distinguished-name | hostname identity-hostname | inet
identity-ipv4 | inet6 identity-ipv6 | key-id string-key-id | user-at-hostname
identity-user);
remote-identity distinguished-name <container container> <wildcard
wildcard>hostname identity-hostnameinet identity-ipv4inet6 identity-ipv6 key-id
string-key-id user-at-hostname identity-user;
tcp-encap-profile;
version (v1-only | v2-only);
}
policy name {
certificate {
local-certificate (Security) local-certificate;
peer-certificate-type (pkcs7 | x509-signature);
policy-oids policy-oids;
trusted-ca (ca-profile ca-profile | trusted-ca-group trusted-ca-
group );
}
description description;
mode (aggressive | main);
pre-shared-key (ascii-text ascii-text | hexadecimal hexadecimal);
proposal-set (Security IKE) (basic | compatible | prime-128 | prime-256
| standard | suiteb-gcm-128 | suiteb-gcm-256);
proposals [ proposals ... ];
reauth-frequency reauth-frequency;
}
proposal name {
1605
Nivel de jerarquía
[edit security]
1606
Descripción
Defina la configuración de Intercambio de claves por red (ICR). ICR es un protocolo de administración de
claves que crea SLA dinámicos; negocia SA para IPsec. Una ICR configuración define los algoritmos y
claves que se utilizan para establecer una conexión segura con una puerta de enlace de seguridad par.
Opciones
respond-bad-spi max-responses— (Opcional) Número de veces que se debe responder a valores SPI no
válidos por puerta de enlace. Habilitar respuesta a valores de índice de parámetros de seguridad (SPI) de
IPsec no válidos. Si las asociaciones de seguridad (SA) entre dos elementos del mismo nivel de una VPN
de IPsec dejan de estar sincronizadas, el dispositivo restablece el estado de un interlocutor para que los
dos del mismo nivel estén sincronizados.
• Varían 1 a 30
• Predeterminada 5
traceoptions: configure ICR opciones de seguimiento para ayudar a solucionar problemas ICR
problemas. Esto ayuda a solucionar problemas de una o varias negociaciones de la configuración
estándar de mejora. El seguimiento de ICR permite al usuario ver el intercambio detallado de paquetes y
la información de negociación en las fases 1 y 2. El seguimiento de ICR no está habilitado de forma
predeterminada. De forma predeterminada, todas las negociaciones de ICR o IPsec se registran
en/var/log/KMD. Sin embargo, el usuario también puede especificar un nombre de archivo
personalizado al configurar el ICR TraceOptions.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1607
Descripción | 1609
Opciones | 1609
Sintaxis
ike {
gateway gateway-name {
ike-policy policy-name;
local address ip-address;
local-identity {
1608
}
}
Nivel de jerarquía
Descripción
Configure ICR VPN de grupo en el miembro del grupo. Un miembro del grupo cifra el tráfico y es
responsable del cifrado y descifrado real del tráfico de datos. Un miembro del grupo está configurado
con parámetros ICR fase 1 e información GC/KS.
Opciones
nombre de puerta de enlace Configure ICR puerta de enlace para el miembro de grupo VPN.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1610
Descripción | 1612
Opciones | 1612
Sintaxis
ike {
gateway gateway-name {
address ip-address;
dead-peer-detection {
always-send;
interval seconds;
threshold number;
}
dynamic {
(hostname hostname | inet ip-address | user-at-hostname e-mail-
address);
1611
}
ike-policy policy-name;
local-address ip-address;
local-identity {
(hostname hostname | inet ip-address | user-at-hostname e-mail-
address);
}
remote-identity {
(hostname hostname | inet ip-address | user-at-hostname e-mail-
address);
}
routing-instance routing-instance;
}
policy policy-name {
description description;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals proposal-name;
}
proposal proposal-name {
authentication-algorithm (sha-256 | sha-384);
authentication-method pre-shared-keys;
description description;
dh-group (group14 | group24);
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
}
}
Nivel de jerarquía
Descripción
Configure la Asociación de seguridad (SA) de fase 1 con un miembro en el servidor de grupo. La puerta
de enlace es el miembro del grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
nombre de puerta de enlace Configure ICR puerta de enlace para el servidor VPN del grupo.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1613
Descripción | 1614
Opciones | 1614
Sintaxis
ike {
anti-replay-window-size anti-replay-window-size;
gateway gateway-name;
idle-time seconds;
install-interval seconds;
ipsec-policy ipsec-policy-name;
no-anti-replay;
proxy-identity {
local ip-prefix;
remote ip-prefix;
service (any | service-name);
}
}
Nivel de jerarquía
Descripción
Opciones
ventana anti- Para activar la anti-replay-window-size opción, primero debe configurar la opción
Replay-size para cada objeto VPN o en el nivel global. Puede configurar el tamaño de la ventana
anti-Replay en el rango de 64 a 8192 (potencia de 2). Si no se configura el tamaño de
la ventana anti-Replay, el tamaño de la ventana será de 64 de forma predeterminada.
Si anti-replay-window-size el comando se configura en los niveles de objeto global y
de VPN, la configuración del objeto VPN tiene prioridad sobre la configuración
global.
• Predeterminada 1 segundo
• Varían 0 a 10 segundos
Información de versión
VÍNCULOS RELACIONADOS
ike-phase1-failures
in this section
Sintaxis | 1616
Descripción | 1616
Predeterminada | 1617
Opciones | 1617
Sintaxis
ike-phase1-failures {
threshold value;
}
Nivel de jerarquía
Descripción
Producir una alarma de seguridad después de superar un número especificado de errores en la fase 1
Intercambio de claves por red (ICR).
1617
Predeterminada
Opciones
failures: número de ICR errores de fase 1 hasta los cuales no se activa una alarma. Cuando se supera el
número configurado, se produce una alarma.
• Predeterminada 20
Información de versión
VÍNCULOS RELACIONADOS
ike-phase2-failures
in this section
Sintaxis | 1618
Descripción | 1618
Predeterminada | 1619
Opciones | 1619
Sintaxis
ike-phase2-failures {
threshold value;
}
Nivel de jerarquía
Descripción
Producir una alarma de seguridad después de superar un número especificado de fallos de Intercambio
de claves por red (ICR) fase 2.
1619
Predeterminada
Opciones
failures: número de ICR de errores de fase 2 hasta los cuales no se activa una alarma. Cuando se supera
el número configurado, se produce una alarma.
• Predeterminada 20
Información de versión
VÍNCULOS RELACIONADOS
fpga-crypto en línea
in this section
Sintaxis | 1620
Descripción | 1620
Opciones | 1621
Sintaxis
Nivel de jerarquía
Descripción
Opciones
protección
Información de versión
VÍNCULOS RELACIONADOS
power-mode-ipsec-qat | 1667
servicios de aplicaciones (proceso de reenvío de seguridad)
in this section
Sintaxis | 1622
Descripción | 1622
Opciones | 1622
Sintaxis
internal {
security-association {
manual {
encryption {
algorithm (3des-cbc | aes-128-cbc);
ike-ha-link-encryption enable;
key ascii-text;
}
}
}
}
Nivel de jerarquía
Descripción
Habilite el inicio de sesión seguro y evite que los atacantes obtengan acceso privilegiado a través de este
puerto de control mediante la configuración de la Asociación de seguridad (SA) interna de seguridad IP
(IPsec).
Cuando se configura el IPsec interno, el comando remoto rlogin y basado en IPsecrcmd() se aplican, por
lo que un atacante no puede obtener información no autorizada.
Opciones
Asociación de Especifique una SA de IPsec. Una SA es una conexión símplex que permite que
seguridad dos hosts se comuniquen entre sí de manera segura por medio de IPsec.
1623
cifrado manual Especifique una SA manual. Las SA manuales no requieren negociación; todos los
valores, incluidas las claves, son estáticos y se especifican en la configuración.
clave de texto Especifique la clave de cifrado. Debe asegurarse de que la clave de cifrado manual
ASCII se encuentra en texto ASCII y de 24 caracteres de longitud; de lo contrario, la
configuración producirá un error de confirmación.
Información de versión
Soporte técnico ike-ha-link-encryption para la opción agregada en Junos os versión 12.1 X47-D15.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1624
Descripción | 1625
Opciones | 1625
Sintaxis
ipsec {
vpn vpn-name {
ha-link-encryption;
ike {
gateway gateway-name;
ipsec-policy ipsec-policy-name;
}
}
proposal proposal-name {
description description;
encryption-algorithm (aes-256-gcm);
lifetime-seconds seconds;
protocol (esp);
}
policy policy-name {
description description;
proposals proposal-name;
}
}
1625
Nivel de jerarquía
[edit security]
Descripción
Defina la configuración de IPsec para la función de alta disponibilidad multinodo. Una conexión VPN
puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico remoto y una LAN. El
tráfico que fluye entre estos dos puntos pasa a través de recursos compartidos tales como enrutadores,
conmutadores y otros equipos de red que forman la WAN pública. Para proteger la comunicación VPN
se crea un túnel IPsec entre dos dispositivos participantes.
Opciones
nombre VPN Configure una VPN de IPsec. Una VPN proporciona un medio por el que los equipos
remotos se comunican de forma segura a través de una WAN pública, como Internet.
Debe mencionar el mismo nombre vpn para en vpn-profile la set chassis high-
availability peer-id peer-id vpn-profile profile-name configuración.
ha-link- Configure un túnel de vínculo de interchassis para garantizar una conexión AD flujo
encryption de tráfico entre los nodos. Solo se admiten túneles VPN IPsec de sitio a sitio para
túneles de vínculo de interchasis. Se admiten los métodos de autenticación PSK y
PKI.
• Valores
Protocolo Definir el protocolo IPsec para un manual o asociación de seguridad dinámica (SA).
• Valores
Policy-Name Definir una directiva IPsec. Una política de IPsec define una combinación de
parámetros de seguridad (propuestas de IPsec) utilizados durante la negociación de
IPsec. Define perfect forward secrecy (PFS) y las propuestas necesarias para la
conexión.
Información de versión
VÍNCULOS RELACIONADOS
IPSec (seguridad)
in this section
Sintaxis | 1628
Descripción | 1628
Opciones | 1628
Sintaxis
ipsec {
anti-replay-window-size anti-replay-window-size;
internal;
policy;
proposal
security-association sa-name;
traceoptions;
vpnvpn-name;
vpn-monitor-options {
interval seconds;
threshold number;
}
}
Nivel de jerarquía
[edit security]
Descripción
Definir la configuración de IPsec. Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un
usuario de acceso telefónico remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través
de recursos compartidos tales como enrutadores, conmutadores y otros equipos de red que forman la
WAN pública. Para proteger la comunicación VPN se crea un túnel IPsec entre dos dispositivos
participantes.
Opciones
• Predeterminada 64 bytes
nivel Configure IPsec interna. Cuando se configura el IPsec interno, el comando remoto
rlogin y basado en IPsecrcmd() se aplican, por lo que un atacante no puede obtener
información no autorizada.
política Definir una directiva IPsec. Una política de IPsec define una combinación de
parámetros de seguridad (propuestas de IPsec) utilizados durante la negociación de
IPsec. Define perfect forward secrecy (PFS) y las propuestas necesarias para la
conexión.
Asociación de Configure una asociación de seguridad IPsec (SA) manual para aplicarla a una interfaz
seguridad OSPF o OSPFv3 o a un vínculo virtual. IPsec puede proporcionar autenticación y
confidencialidad a OSPF o OSPFv3 paquetes de enrutamiento.
vpn-name Configure una VPN de IPsec. Una VPN proporciona un medio mediante el cual los
equipos remotos se comunican de forma segura a través de una WAN pública, como
Internet
• Predeterminada 10 segundos
número de Número de ping consecutivos sin éxito antes de que el par se declare
umbral inaccesible.
• Predeterminada 10 pings
1630
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1631
Descripción | 1631
Opciones | 1632
Sintaxis
ipsec {
vpn vpn-name {
df-bit (clear | copy | set);
exclude rule rule-name {
source-address ip-address/mask;
destination-address ip-address/mask;
application application;
}
fail-open rule rule-name {
source-address ip-address/mask;
destination-address ip-address/mask;
application application;
}
group id;
group-vpn-external-interface interface;
ike-gateway gateway-name;
recovery-probe;
}
t}
Nivel de jerarquía
Descripción
Configure IPsec para el intercambio de fase 2 en el miembro del grupo. Group VPNv2 es compatible con
SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos
SRX4600 e instancias de vSRX.
1632
Opciones
regla de Especifica el tráfico que se excluirá del cifrado de VPN de grupo. Se puede configurar
exclusión un máximo de 10 reglas de exclusión. Las direcciones de origen y destino se deben
especificar en formato de dirección IP/máscara; no se admiten libretas de direcciones
ni conjuntos de direcciones. Se admiten aplicaciones predefinidas y definidas por el
usuario, pero no se admiten conjuntos de aplicaciones.
regla de error Especifica el tráfico que se enviará en modo de texto no cifrado si no hay ninguna clave
de apertura de SA válida disponible para proteger el tráfico. El tráfico no especificado por la regla
de error de apertura se bloquea si no hay ninguna clave de SA disponible para proteger
el tráfico. Puede configurarse un máximo de 10 reglas de error de apertura. Las
direcciones de origen y destino se deben especificar en formato de dirección IP/
máscara; no se admiten libretas de direcciones ni conjuntos de direcciones. Se admiten
aplicaciones predefinidas y definidas por el usuario, pero no se admiten conjuntos de
aplicaciones.
interfaz de Interfaz usada por el miembro del grupo para conectarse a los homólogos de VPN de
interfaz group- grupo. La interfaz debe pertenecer a la misma zona que to-zone la configuradaedit
vpn-external-
external security ipsec-policyen el nivel de jerarquía [] para el tráfico VPN del grupo.
1633
Información de versión
Instrucción introducida en Junos OS versión 10,2. ,, y recovery-probe se han agregado las opciones
Junos os Release 15.1-D30 para vSRX. df-bitexclude rulefail-open rule
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1634
Descripción | 1634
1634
Opciones | 1634
Sintaxis
ipsec {
proposal proposal-name {
authentication-algorithm (hmac-sha-256-128);
description description;
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
}
}
Nivel de jerarquía
Descripción
Configure la propuesta IPsec para el intercambio de fase 2 en el servidor de grupo. Group VPNv2 es
compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y
dispositivos SRX4600 e instancias de vSRX.
Opciones
Información de versión
VÍNCULOS RELACIONADOS
IPSec-Directiva
in this section
Sintaxis | 1636
Descripción | 1636
Opciones | 1636
Sintaxis
Nivel de jerarquía
[edit security]
Descripción
Especifica que el tráfico coincidente se comprueba con las reglas asociadas con el grupo VPN
especificado. Las reglas Exclude y Open-FAIL se configuranedit security group-vpn member ipsec vpn
vpn-nameen el nivel de jerarquía [].
Opciones
nombre de zona Especifique la zona de entrada para el tráfico VPN del grupo.
desde una zona
nombre de zona a Especifique la zona de salida para el tráfico VPN del grupo.
zona
La to-zone zona debe incluir la interfaz configurada group-vpn-external-interface
con la opción enedit security group-vpn member ipsec vpn vpn-nameel nivel de
jerarquía [].
nombre vpn ipsec- Especifique la VPN de grupo a la que se aplica el tráfico. Solo se puede hacer
group-vpn referencia a una VPN de grupo mediante un par específico de zona/zona.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1637
Descripción | 1638
Opciones | 1638
Sintaxis
ipsec-sa name {
match-policy policy-name {
destination ip-address/netmask;
destination-port number;
protocol number;
source ip-address/netmask;
source-port number;
1638
}
proposal proposal-name;
}
Nivel de jerarquía
Descripción
Configure las SA del grupo para que se descarguen a los miembros. Puede haber varias SA de grupo
descargadas a miembros del grupo.
Opciones
ipsec-sa name: defina lasAS del grupo que se descargarán a los miembros.
• match-policy policy-name: configure la política de grupo con dirección de origen, puerto de origen,
dirección de destino, puerto de destino y protocolo.
Información de versión
VÍNCULOS RELACIONADOS
identidad local
in this section
Sintaxis | 1640
Descripción | 1640
Opciones | 1640
Sintaxis
Nivel de jerarquía
Descripción
Especifique la identidad de ICR local que desea enviar en el intercambio con el interlocutor de destino
para establecer la comunicación. Si no configura una identidad local, el dispositivo usa de forma
predeterminada la dirección IPv4 o IPv6 que corresponde al extremo local.
Opciones
Información de versión
Instrucción introducida en Junos OS versión 8,5. La inet6 opción agregada en Junos OS versión 11,1.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1641
Descripción | 1642
Opciones | 1642
Sintaxis
manual {
authentication {
algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96);
1642
Nivel de jerarquía
Descripción
Opciones
algoritmo de Algoritmo hash que autentica los datos del paquete. Puede ser uno de los siguientes
autenticación
• hmac-md5-96: produce un resumen de 128 bits.
• hmac-sha1-96: algoritmo hash que autentica los datos del paquete. Produce un
resumen de 160 bits. Para la autenticación, solo se utilizan 96 bits.
1643
• ascii-text key: clave de texto ASCII. En hmac-md5-96el caso de, la clave tiene
16 caracteres ASCII; en hmac-sha1-96el caso de, la clave tiene 20 caracteres
ASCII.
Para 3des-cbc, recomendamos que los primeros 8 bytes sean diferentes a los 8
segundos y que los segundos 8 coincidan con los de 8 bytes.
• encryption key: tipo de clave de cifrado. Puede ser uno de los siguientes:
• ascii-text key: clave de texto ASCII. Para la des-cbc opción, la clave contiene 8
caracteres ASCII; para 3des-cbc, la clave contiene 24 caracteres ASCII.
• Valores
• esp: protocolo ESP (Para usar el protocolo ESP, también debe utilizar la
instrucción tunnel en el nivel de jerarquía [editar seguridad ipsec modo sa-
name] de la asociación de seguridad ipsec)
Información de versión
Instrucción modificada en Junos OS versión 8,5. Compatibilidad con direcciones IPv6 agregadas en
Junos OS versión 11,1.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1645
Descripción | 1646
Opciones | 1646
Sintaxis
member {
ike {
gateway gateway-name;
policy;
proposal;
traceoptions;
}
ipsec {
vpn vpn-name {
df-bit (clear | copy | set);
1646
Nivel de jerarquía
Descripción
Configure el miembro VPN del grupo. Un miembro del grupo cifra el tráfico y es responsable del cifrado
y descifrado real del tráfico de datos. Un miembro del grupo está configurado con parámetros ICR fase 1
e información GC/KS.
Opciones
nombre depuerta de enlace de Configure ICR puerta de enlace para el miembro de grupo VPN.
ike
nombre de política Configure una directiva de ICR.
1647
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1648
Descripción | 1648
Opciones | 1648
Sintaxis
Nivel de jerarquía
Descripción
Definir el modo utilizado para las negociaciones de Intercambio de claves por red (ICR) fase 1. Use el
modo de borrado solo cuando necesite iniciar un intercambio de claves ICR sin protección de ID, como
cuando una unidad del mismo nivel tiene asignada dinámicamente una dirección IP. (La main opción no
se admite en implementaciones de VPN dinámicas.) El grupo VPNv2 se admite en dispositivos SRX300,
SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y SRX4600, además de
instancias vSRX.
• El dispositivo elimina las asociaciones de ICR e IPsec existentes cuando actualiza la mode
configuración en la Directiva ICR.
Opciones
• main: modo principal. El modo principal es el método recomendado de intercambio de claves, ya que
oculta las identidades de las partes durante el intercambio de claves.
No mode main se admite la configuración de miembros o servidores VPN de grupo cuando la puerta
de enlace remota tiene una dirección dinámica y pre-shared-keysel método de autenticación es.
1649
Información de versión
Instrucción introducida en Junos OS versión 8,5. Compatibilidad con group-vpn jerarquías agregadas en
Junos OS versión 10,2.
VÍNCULOS RELACIONADOS
varios SA
in this section
Sintaxis | 1650
Descripción | 1650
Opciones | 1650
Sintaxis
multi-sa {
forwarding-class expedited-forwarding | assured-forwarding | best-effort |
network-control;
}
Nivel de jerarquía
Descripción
Negociar varias asociaciones de seguridad (SAs) en función de las opciones de configuración. Varias SA
negocian con el mismo selector de tráfico en el mismo ICR SA. Mediante la negociación de varias SA, las
puertas de enlace de los interlocutores tienen más ventanas de reproducción. Si las puertas de enlace
del mismo nivel crean varias SA separadas para las clases de reenvío (FC) configuradas, es posible que
haya una ventana de anti-reproducción independiente disponible para cada valor FC. Con esta
asignación, incluso si los co pueden reordenar los paquetes, la reordenación se realiza con una SA
múltiple determinada, evitando de este modo que los paquetes se descarten debido a las
comprobaciones de anti-reproducción.
Opciones
de clase Las clases de reenvío (FCs) permiten agrupar paquetes para transmisión y asignar paquetes a
de colas de salida.
reenvío
• Valores
1651
• network-control: esta clase suele ser de alta prioridad, ya que admite el control de
protocolos.
protección
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1652
Descripción | 1652
Opciones | 1653
Sintaxis
ocsp {
connection-failure (disable | fallback-crl);
disable-responder-revocation-check;
nonce-payload (enable | disable);
url ocsp-url;
}
Nivel de jerarquía
Descripción
Opciones
error de Adicional Especificar la acción que debe llevarse a cabo si se produce un error de
conexión conexión con el contestador de OCSP. Si esta opción no está configurada y no hay
respuesta del contestador de OCSP, se producirá un error en la validación del
certificado.
CRL de reserva Utilice CRL para comprobar el estado de revocación del certificado.
nonce-payload Adicional Enviar una carga Nonce para evitar un ataque de reproducción. De forma
predeterminada, se envía una carga Nonce a menos que esté deshabilitada de forma
explícita. Si está habilitado, el dispositivo de serie SRX espera que las respuestas de
OCSP contengan una carga Nonce, de lo contrario, no se podrá llevar a cabo la
comprobación de revocación. Si los contestadores de OCSP no pueden responder
con una carga Nonce, deshabilite esta opción.
url ocsp-url Especifique direcciones HTTP para los contestadores de OCSP. Se puede configurar
un máximo de dos direcciones URL HTTP. Si no se pueden alcanzar las direcciones
URL configuradas o si no se configuran direcciones URL, se comprobará la dirección
URL del certificado que se está comprobando.
Información de versión
VÍNCULOS RELACIONADOS
pública
in this section
Sintaxis | 1654
Descripción | 1655
Opciones | 1655
Sintaxis
pki {
auto-re-enrollment;
ca-profile ca-profile-name;
traceoptions;
trusted-ca-group name {
ca-profiles ca-profiles;
}
}
1655
Nivel de jerarquía
[edit security]
Descripción
Configure un perfil IPsec para solicitar certificados digitales. La infraestructura de claves públicas (PKI)
proporciona una infraestructura para la administración de certificados digitales.
Opciones
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1656
Descripción | 1657
Opciones | 1657
Sintaxis
policy policy-name {
description description;
mode2 (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals proposal-name;
}
1657
Nivel de jerarquía
Descripción
Configure una directiva de ICR. Una política ICR define una combinación de parámetros de seguridad
(ICR propuestas) que se usarán durante ICR negociación. Define una dirección par, la clave previamente
compartida para el par determinado y las propuestas necesarias para esa conexión. Durante la ICR, ICR
busca una política de ICR que sea la misma en ambos pares. El par que inicia la negociación envía todas
sus políticas al par remoto y el par remoto intenta encontrar una coincidencia.
Opciones
nombre de política Nombre de la Directiva de ICR. El nombre de la Directiva puede tener hasta 32
caracteres alfanuméricos.
medio Definir el modo utilizado para las negociaciones de Intercambio de claves por
red (ICR) fase 1.
clave previamente Definir una clave previamente compartida para una directiva de ICR.
compartida
proposals proposal- Especifique hasta cuatro propuestas de fase 1 para una directiva de ICR. Si
name incluye varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las
propuestas.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1658
Descripción | 1659
Opciones | 1659
Sintaxis
policy policy-name {
certificate {
local-certificate certificate-id;
peer-certificate-type (pkcs7 | x509-signature);
policy-oids [ oid ];
trusted-ca {
ca-profile ca-profile-name;
trusted-ca-group trusted-ca-group-name;
}
}
description description;
1659
Nivel de jerarquía
Descripción
ICR políticas definen una combinación de parámetros de seguridad (propuestas ICR de ICR) que se
usarán durante una negociación, incluida la dirección par, la clave previamente compartida para el par
determinado y las propuestas necesarias para esa conexión. Durante la ICR, ICR busca una política de
ICR que sea la misma en ambos pares. El par que inicia la negociación envía todas sus políticas al par
remoto y el par remoto intenta encontrar una coincidencia.
ICR propuestas en la instrucción se evalúan en orden de lista, de arriba a abajo, por lo que al crear la
política, especifique primero la propuesta de prioridad más alta, seguida de la siguiente prioridad más
alta, y así policy sucesivamente.
Opciones
policy-name: nombre de la ICR política. El nombre de la Directiva puede tener hasta 32 caracteres
alfanuméricos.
mode: permite definir el modo utilizado para Intercambio de claves por red (ICR) de fase 1. Use el modo
de borrado solo cuando necesite iniciar un intercambio de claves ICR sin protección de ID, como cuando
1660
una unidad del mismo nivel tiene asignada dinámicamente una dirección IP. El protocolo IKEv2 no
negocia el uso de la configuración del modo. El dispositivo elimina las asociaciones de ICR e IPsec
existentes cuando actualiza la mode configuración en la Directiva ICR.
• main: modo principal. El modo principal es el método recomendado de intercambio de claves, ya que
oculta las identidades de las partes durante el intercambio de claves.
No mode main se admite la configuración de miembros o servidores VPN de grupo cuando la puerta
de enlace remota tiene una dirección dinámica y pre-shared-keysel método de autenticación es.
pre-shared-key: defina una clave previamente compartida para una política ICR común. Las claves
previamente compartidas se utilizan para fijar las SA de la fase 1 entre el servidor raíz y los subdominios,
y entre los subservidors y los miembros del grupo. Asegúrese de que las claves previamente compartidas
se utilizan con claves seguras. En los sub servidores, la clave previamente compartida configurada para
IKEpolicy RootSrv debe coincidir con la clave previamente compartida configurada en el servidor raíz y la
clave previamente compartida configurada para las GMs de la política de ICR debe coincidir con la clave
previamente compartida configurada en los miembros del grupo. El dispositivo elimina las asociaciones
de ICR e IPsec existentes cuando actualiza la pre-shared-key configuración en la Directiva ICR.
• ascii-text key: especifique una cadena de 1 a 255 caracteres de texto ASCII para la clave. @ +
Caracteres - o = no están permitidos. Para ( ) [ ] { incluir los } caracteres , especiales, escriba toda la
cadena de tecla o bien el carácter especial entre comillas ; ; por ejemplo “str)ng” , str”)”ngo. No se
permite el uso de comillas dentro de la cadena. Con des-cbc el cifrado, la clave contiene 8 caracteres
ASCII. Con 3des-cbc el cifrado, la clave contiene 24 caracteres ASCII.
• hexadecimal key: especifique una cadena de 1 a 255 caracteres hexadecimales para la clave. Los
caracteres deben ser dígitos 0 hexadecimales 9a través a de f , A o Fletras a o through. Con des-cbc
el cifrado, la clave contiene 16 caracteres hexadecimales. Con 3des-cbc el cifrado, la clave contiene
48 caracteres hexadecimales.
proposals proposal-name: especifique hasta cuatro propuestas de fase 1 para una ICR política. Si incluye
varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las propuestas.
• Predeterminada 0 (deshabilitar)
• Varían 0-100
Información de versión
Soporte para suiteb-gcm-128 y suiteb-gcm-256 opciones agregadas en Junos os versión 12.1 x45-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1662
Descripción | 1662
Opciones | 1662
1662
Sintaxis
policy policy-name {
description description;
perfect-forward-secrecy keys (group1 | group14 | group19 | group2 | group20
| group24 | group5 | group15 | group16 | group21);
proposal-set (basic | compatible | prime-128 | prime-256 | standard | suiteb-
gcm-128 | suiteb-gcm-256);
proposals proposal-name;
}
Nivel de jerarquía
Descripción
Definir una directiva IPsec. Una política de IPsec define una combinación de parámetros de seguridad
(propuestas de IPsec) utilizados durante la negociación de IPsec. Define perfect forward secrecy (PFS) y
las propuestas necesarias para la conexión.
Opciones
claves de Especifique confidencialidad directa perfecta (PFS) como método que utiliza el
confidencialidad dispositivo para generar la clave de cifrado. PFS genera cada nueva clave de cifrado
directa perfectas
de forma independiente de la clave anterior. El dispositivo elimina las SA existentes
de IPsec cuando se actualiza perfect-forward-secrecy la configuración en la
directiva IPSec.
• Valores
• Valores
• Protocolo ESP
• standard—g2-esp-3des-sha y g2-esp-aes128-sha
• Protocolo ESP
• Protocolo ESP
proposals Especifique hasta cuatro propuestas de fase 2 para una política IPsec. Si incluye
proposal-name varias propuestas, utilice el mismo grupo Diffie-Hellman en todas las propuestas.
Información de versión
Soporte para group19, group20y group24 opciones agregadas en Junos os de la versión 12.1 x45-D10.
group15, group16 y las opciones group21 introducidas en Junos OS versión 19.1R1 dispositivos serie
SRX.
Soporte para suiteb-gcm-128 y suiteb-gcm-256 opciones agregadas en Junos os versión 12.1 x45-D10.
Soporte para prime-128 y prime-256 opciones agregadas en Junos os Release 15.1 x49-D40.
A partir Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las opciones
NOT RECOMMENDEDgroup1group2 CLI, group5 y group14 .
VÍNCULOS RELACIONADOS
modo de energía-IPSec
in this section
Sintaxis | 1666
Descripción | 1666
1666
Sintaxis
power-mode-ipsec;
Nivel de jerarquía
Descripción
Activar PowerMode IPsec. forma. PMI es un nuevo modo de funcionamiento que proporciona mejoras
de rendimiento de IPsec.
En el caso de los dispositivos SRX4100, SRX4200 que ejecutan Junos OS versión 18.4R1, dispositivos
SRX4600 que ejecutan Junos OS versión 20.4R1 y instancias vSRX que ejecutan Junos OS versión
18.3R1, puede habilitar o deshabilitar la PMI. A partir Junos OS versión 21.1R1, puede activar o
deshabilitar la PMI en la tarjeta de servicios MX-SPC3.
Si utiliza Junos OS versión 18.3R1, debe reiniciar el dispositivo para que la configuración suba a efecto.
Los paquetes no pueden pasar a través de la PMI cuando los servicios de seguridad avanzada o firewall
se combinan con IPsec. Por lo tanto, no se debe usar PMI cuando los servicios de seguridad avanzada o
firewall se combinan con IPsec.
1667
flujo-puntear
Información de versión
VÍNCULOS RELACIONADOS
power-mode-ipsec-qat
in this section
Sintaxis | 1667
Descripción | 1668
Sintaxis
power-mode-ipsec-qat;
1668
Nivel de jerarquía
Descripción
Configure esta instrucción para hacer uso de QAT para hacer cifrado junto con AES-NI. De forma
predeterminada, AES-NI se usa para cifrar el paquete.
flujo-puntear
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1669
1669
Descripción | 1669
Opciones | 1670
Sintaxis
profile name {
access-profile access-profile;
client-config client-config;
description description;
ipsec-vpn ipsec-vpn;
}
Nivel de jerarquía
Descripción
Configure perfiles de conexión de usuario remoto para los Juniper Secure Connect remoto.
Los perfiles de acceso remoto le permiten implementar la configuración de conexión para los usuarios
remotos mediante la ejecución del archivo de configuración en los dispositivos cliente. Puede crear
varios perfiles y establecer uno de los perfiles como el perfil predeterminado.
Cada perfil de acceso remoto incluye una asignación de nombre a un dominio, configuración de
autenticación, configuración de VPN y configuraciones de cliente. Puede crear distintos perfiles de
acceso remoto para diferentes nombres o funciones.
1670
Ejemplo: puede crear un perfil de configuración para el departamento de ingeniería y otro para el grupo
financiero. El perfil del departamento de ingeniería se nola como perfil de ingeniería.
Cuando un usuario remoto de Juniper Secure connect selecciona un dominio como juniper.net/
engineering-profile, el dispositivo de la serie SRX recibe la solicitud de configuración y selecciona un
perfil de acceso remoto con el mismo nombre que el dominio( es decir, el perfil de ingeniería para
insertar la configuración en el dispositivo cliente).
Si un usuario de acceso remoto no ingresa ningún valor de dominio, el dispositivo selecciona el perfil de
acceso remoto predeterminado para insertar la configuración en el dispositivo cliente.
Opciones
Perfil de acceso Seleccione el perfil de acceso para la autenticación y la contabilidad de los clientes.
IPSec-VPN Seleccione el objeto de política VPN IPsec usado para ICR propuestas de IPsec.
protección
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1671
Descripción | 1672
Opciones | 1672
Sintaxis
proposal proposal-name {
authentication-algorithm (sha-256 | sha-384);
authentication-method pre-shared-keys;
description description;
dh-group (group14 | group24);
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
}
Nivel de jerarquía
Descripción
Definir una propuesta de ICR. Puede configurar una o más ICR propuestas. Cada propuesta es una lista
de atributos ICR para proteger la ICR conexión entre el host ICR y su par.
Opciones
proposal proposal-name: nombre de la ICR propuesta. El nombre de la propuesta puede tener hasta 32
caracteres alfanuméricos.
• group24— subgrupo de 2048 bits y 256 bits. Compatibilidad con la group24 opción agregada en el
Junos OS versión 15.1X49-D30 para vSRX.
• aes-128-cbc— Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado (AES).
lifetime-seconds seconds: especifica la duración (en segundos) de una asociación de ICR o IPsec de
seguridad (SA) para la VPN de grupo. Cuando la SA caduca, se sustituye por una nueva SA, un índice de
parámetros de seguridad (SPI) o termina.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1674
Descripción | 1674
Opciones | 1674
Sintaxis
proposal proposal-name {
authentication-algorithm (sha-256 | sha-384);
authentication-method pre-shared-keys;
description description;
dh-group (group14 | group24);
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
}
Nivel de jerarquía
Descripción
Defina una propuesta de ICR para el servidor VPN de grupo. Puede configurar una o más ICR
propuestas. Cada propuesta es una lista de atributos ICR para proteger la ICR conexión entre el host ICR
y su par.
Opciones
proposal proposal-name: nombre de la ICR propuesta. El nombre de la propuesta puede tener hasta 32
caracteres alfanuméricos.
identificar los pares pre-shared-keys entre sí. Debe configurarse la misma clave para cada interlocutor.
Este es el método predeterminado.
• group24— subgrupo de 2048 bits y 256 bits. Compatibilidad con la group24 opción agregada en el
Junos OS versión 15.1X49-D30 para vSRX.
• aes-128-cbc— Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado (AES).
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1676
Descripción | 1677
Opciones | 1677
Sintaxis
proposal proposal-name {
authentication-algorithm (hmac-sha-256-128);
description description;
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
}
Nivel de jerarquía
Descripción
Definir una propuesta de IPsec. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
• aes-128-cbc— Algoritmo de cifrado de 128 bits del estándar de cifrado avanzado (AES).
lifetime-seconds seconds: especifica la duración (en segundos) de una asociación de seguridad (SA)
IPsec para la VPN de grupo. Cuando la SA caduca, se sustituye por una nueva SA, un índice de
parámetros de seguridad (SPI) o termina. Especifique un valor de 180 a 86 400 segundos. El valor
predeterminado es 3600 segundos.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1678
Sintaxis | 1679
Descripción | 1679
Opciones | 1679
Sintaxis
proposal proposal-name {
authentication-algorithm (md5 | sha-256 | sha-384| sha1 | sha-512);
authentication-method (dsa-signatures | ecdsa-signatures-256 | ecdsa-
signatures-384 | pre-shared-keys | rsa-signatures | ecdsa-signatures-521);
description description;
dh-group (group1 | group14 | group19 | group2 | group20 | group24 | group5 |
group15 | group16 | group21);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc |
des-cbc);
lifetime-seconds seconds;
}
1679
Sintaxis
proposal ike-proposal-name {
authentication-algorithm (md5 | sha1 | sha-256);
authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2 | group 5 | group14);
encryption-algorithm algorithm;
lifetime-seconds seconds;
}
Nivel de jerarquía
Descripción
Opciones
proposal-name: nombre de la ICR propuesta. El nombre de la propuesta puede tener hasta 32 caracteres
alfanuméricos.
• In Power Mode IPSec mode and in normal mode— sha1 : produce un resumen de 160 bits.
• ecdsa-signatures-256: especifique que se utilice la DSA de curva elíptica (ECDSA) mediante la curva
elíptica de 256 bits secp256r1, tal como se especifica en el estándar de firma digital (DSS) del
Estándar federal de procesamiento de información (FIPS) 186-3.
• ecdsa-signatures-384: permite especificar que se utilice la ECDSA con la curva elíptica de 384 bits
secp384r1, tal como se especifica en el FIPS DSS 186-3.
• pre-shared-keys: permite especificar que durante la autenticación se utilice una clave previamente
compartida, que es una clave secreto compartida entre ambos pares, para identificar a los pares entre
sí. Debe configurarse la misma clave para cada interlocutor. Este es el método predeterminado.
• rsa-signatures: especifique que se utiliza un algoritmo de clave pública que admita el cifrado y las
firmas digitales.
• ecdsa-signatures-521: especifique que se usa la ECDSA con la curva elíptica de 521 bits secp521r1.
lifetime-seconds seconds: especifique la duración (en segundos) de una asociación ICR seguridad (SA).
Cuando la SA caduca, se sustituye por una nueva SA, un índice de parámetros de seguridad (SPI) o
termina.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1682
1682
Descripción | 1682
Opciones | 1683
Sintaxis
proposal proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha-256-96 |
hmac-sha-384 | hmac-sha-512 | hmac-sha1-96);
description description;
encryption-algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc |
aes-192-gcm | aes-256-cbc | aes-256-gcm | des-cbc);
extended-sequence-number;
lifetime-kilobytes kilobytes;
lifetime-seconds seconds;
protocol (ah | esp);
}
Nivel de jerarquía
Descripción
Definir una propuesta de IPsec. Una propuesta de IPsec enumera protocolos y algoritmos (servicios de
seguridad) que se negociarán con el par IPsec remoto.
1683
Opciones
• Valores
El algoritmo hash para autenticar datos puede ser uno de los siguientes:
• hmac-sha1-96: algoritmo hash que autentica los datos del paquete. Produce
un resumen de 160 bits. Para la autenticación, solo se utilizan 96 bits.
• Valores
duración: Especifique la duración (en kilobytes) de una asociación de seguridad IPsec (SA). Si
kilobytes esta instrucción no está configurada, el número de kilobytes utilizados para la
vigencia de la SA es ilimitado.
Protocolo Definir el protocolo IPsec para un manual o asociación de seguridad dinámica (SA).
• Valores
Información de versión
A partir Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las opciones
NOT RECOMMENDEDhmac-md5-96hmac-sha1-96 CLI, 3des-cbc y des-cbc .
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1686
Descripción | 1686
Opciones | 1687
Sintaxis
Nivel de jerarquía
Descripción
Opciones
• Propuesta 2: clave previamente compartida, cifrado DES y autenticación del grupo DH 1 y síntesis
del mensaje 5 (MD5).
• Propuesta 1: clave previamente compartida, cifrado triple DES (3DES) y autenticación Diffie-
Hellman (DH) 2 (grupo DH 2) y AUTENTICACIÓN SHA-1.
• Método de autenticación: firmas de 256 bits del algoritmo de firma digital de curva elíptica
(ECDSA).
• Algoritmo de cifrado: modo Galois/Counter (GCM) del estándar de cifrado avanzado (AES) de 128
bits.
Cuando se utiliza esta opción, prime-128 también debe configurarse en eledit security ipsec policy
policy-name proposal-setnivel de jerarquía [].
Cuando se utiliza esta opción, prime-256 también debe configurarse en eledit security ipsec policy
policy-name proposal-setnivel de jerarquía [].
• Propuesta 2: clave previamente compartida, cifrado AES de 128 bits y autenticación de grupo DH
2 y SHA-1.
• Grupo Diffie-Hellman: 19
• Algoritmo de cifrado: encadenamiento de bloques de cifrado (CBC) de 128 bits del estándar de
cifrado avanzado (AES)
• Grupo Diffie-Hellman: 20
Información de versión
A partir Junos OS versión 20.2R1, cambiamos la descripción del texto de ayuda en cuanto a las NOT
RECOMMENDED opciones CLI basic y compatiblestandard .
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1689
Descripción | 1691
Opciones | 1691
Sintaxis
remote-access {
client-config name {
biometric-authentication;
certificate {
no-expiry-warning;
no-pin-request-per-connection;
1690
warn-before-expiry days;
}
connection-mode (always | manual);
dead-peer-detection {
interval seconds;
threshold threshold;
}
no-dead-peer-detection;
no-eap-tls;
no-tcp-encap;
windows-logon {
auto-dialog-open;
disconnect-at-logoff;
domain domain;
eap-auth;
flush-credential-at-logoff;
lead-time-duration seconds;
mode (automatic | manual);
}
}
default-profile default-profile;
global-options {
auth-token-valid-time seconds;
}
profile name {
access-profile access-profile;
client-config client-config;
description description;
ipsec-vpn ipsec-vpn;
}
traceoptions {
file <filename> <files files> <match match> <size size> <(world-readable
| no-world-readable)>;
flag name;
level (brief | detail | extensive | verbose);
no-remote-trace;
}
}
1691
Nivel de jerarquía
[edit security]
Descripción
Debe configurar la configuración del cliente remoto en un dispositivo de la serie SRX para facilitar la
configuración automática Juniper Secure Connect clientes remotos.
Cuando un cliente remoto descarga Juniper Secure Connect aplicación, la aplicación establece una
conexión HTTPS con el dispositivo de seguridad. Todos los clientes autenticados obtienen el archivo de
configuración del dispositivo de seguridad y establecen un túnel VPN. En este paso, se elimina la
necesidad de que los clientes remotos configuren parámetros para los parámetros del identificador de
certificado, la configuración del cliente de acceso remoto y los parámetros ICR e IPsec en su dispositivo
para establecer una conexión VPN.
Opciones
opciones globales Defina parámetros globales para Juniper Secure Connect configuración de
acceso remoto.
Perfil Configure perfiles de conexión de usuario remoto para los Juniper Secure
Connect remoto.
traceoptions Configure las operaciones de seguimiento de acceso remoto para Juniper Secure
Connect.
protección
Información de versión
VÍNCULOS RELACIONADOS
identidad remota
in this section
Sintaxis | 1692
Descripción | 1693
Opciones | 1693
Sintaxis
remote-identity {
distinguished-name {
container container-string;
wildcard wildcard-string;
}
1693
hostname hostname;
inet ip-address;
inet6 ipv6-address;
key-id;
user-at-hostname e-mail-address;
}
Nivel de jerarquía
Descripción
Especifique la identidad de ICR remota para intercambiar la comunicación con el interlocutor de destino.
Si no configura una identidad remota, el dispositivo usa la dirección IPv4 o IPv6 que corresponde al
extremo remoto de forma predeterminada.
Opciones
• distinguished-name: especifique la identidad como el nombre distinguido (DN) del certificado. Si hay
más de un certificado security ike gateway gateway-name policy policy-name certificate local-
certificate certificate-iden el dispositivo, utilice el comando.
Información de versión
VÍNCULOS RELACIONADOS
ataques de reproducción
in this section
Sintaxis | 1695
Descripción | 1695
Predeterminada | 1695
Opciones | 1695
Sintaxis
replay-attacks {
threshold value;
}
Nivel de jerarquía
Descripción
Cuando el dispositivo detecte un ataque de reproducción, producirá una alarma de seguridad. Un ataque
de reproducción es una forma de ataque a la red en el que una transmisión de datos válida está repetida
o retrasada de forma malintencionada o fraudulenta.
Predeterminada
Opciones
• threshold value: número de ataques de respuesta hasta los cuales no se activa una alarma. Cuando se
supera el número configurado, se produce una alarma.
• Predeterminada 1000
1696
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1696
Descripción | 1697
Opciones | 1697
Sintaxis
revocation-check {
crl:
1697
disable;
ocsp:
use-crl;
use-ocsp;
}
Nivel de jerarquía
Descripción
Especifique el método que utiliza el dispositivo para comprobar el estado de revocación de los
certificados digitales.
Opciones
listas Solo se admite la lista de revocación de certificados (CRL). Una CRL es una lista con marcas
de hora que identifica certificados revocados, firmados por una entidad emisora y puestos
a disposición de los homólogos IPsec participantes periódicamente.
También debe especificar la ubicación (URL) para recuperar la CRL (HTTP o LDAP). De
forma predeterminada, la dirección URL está vacía y utiliza la información de CDP
incrustada en el certificado de entidad emisora.
Por ejemplo: set security pki ca-profile ms-ca revocation-check crl url http://
labsrv1.labdomain.com/CertEnroll/LABDOMAIN.crl
La dirección URL puede incluir la información de puerto o nombre del servidor, como
ldap://<ip-o-fqdn>:<port>). Si falta el número de puerto, HTTP utiliza el puerto 80 o LDAP
usa el puerto 443. Actualmente, solo puede configurar una dirección URL. No somos
compatibles con la configuración de url de respaldo.
De forma predeterminada crl , está habilitada. Los certificados locales se están validando
con la lista de revocación de certificados (CRL) incluso aunque la comprobación de CRL
1698
OSCP Configure el protocolo de estado de certificados en línea (OCSP) para comprobar el estado
de revocación de un certificado.
CRL de uso Especifique la CRL como método para comprobar el estado de revocación de un
certificado. CRL es el método predeterminado.
Cuando habilite esta opción, elija CRL como método para comprobar el estado de
revocación de certificados digitales.
Use-OCSP Especifique el protocolo de estado de certificados en línea (OCSP) como método para
comprobar el estado de revocación de un certificado. CRL es el método predeterminado.
Cuando habilite esta opción, elija OCSP como método para comprobar el estado de
revocación de certificados digitales.
Información de versión
Instrucción modificada en Junos OS versión 8,5. Compatibilidad con ocsp, use-crly use-ocsp con las
opciones que se agregan en Junos os versión 12.1 x46-D20.
VÍNCULOS RELACIONADOS
Asociación de seguridad
in this section
Sintaxis | 1699
Descripción | 1700
Opciones | 1700
Sintaxis
security-association sa-name {
manual {
direction bidirectional {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key {
ascii-text key;
hexadecimal key;
}
}
encryption {
algorithm (3des-cbc | des-cbc );
key {
ascii-text key;
hexadecimal key;
}
}
protocol (ah | esp);
spi spi-value;
}
}
1700
mode transport;
}
Nivel de jerarquía
Descripción
Configure una asociación de seguridad IPsec (SA) manual para aplicarla a una interfaz OSPF o OSPFv3 o
a un vínculo virtual. IPsec puede proporcionar autenticación y confidencialidad a OSPF o OSPFv3
paquetes de enrutamiento.
Opciones
Dirección Dirección del manual SA. Para esta característica, la dirección debe ser bidirectional.
Descifrar y autenticar el tráfico entrante y saliente con el mismo algoritmo, claves o SPI
en ambas direcciones, a diferencia de las AS entrantes y salientes que utilizan atributos
diferentes en ambas direcciones.
• Valores algorithm: algoritmo hash que autentica los datos del paquete. Puede ser uno
de los siguientes:
• ascii-text key: clave de texto ASCII. En hmac-md5-96el caso de, la clave tiene 16
caracteres ASCII; en hmac-sha1-96el caso de, la clave tiene 20 caracteres ASCII.
• Valores encryption: configure un algoritmo de cifrado y una clave para una asociación
de seguridad (SA) manual. Puede ser uno de los siguientes:
Para 3des-cbc, recomendamos que los primeros 8 bytes sean diferentes a los 8
segundos y que los segundos 8 coincidan con los de 8 bytes.
• ascii-text key: clave de texto ASCII. Para la des-cbc opción, la clave contiene 8
caracteres ASCII; para 3des-cbc, la clave contiene 24 caracteres ASCII.
Protocolo Defina el protocolo IPsec para una asociación de seguridad manual (SA). El protocolo
puede ser uno de los siguientes:
spi spi-value Configure el índice de parámetros de seguridad (SPI) para una asociación de seguridad
(SA). Un valor arbitrario que identifica de forma exclusiva qué SA se va a utilizar en el host
de recepción (la dirección de destino del paquete).
medio Modo SA. Para esta característica, el modo debe ser transport.
1702
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1702
Descripción | 1705
Opciones | 1705
Sintaxis
server {
group name {
anti-replay-time-window milliseconds;
1703
description description;
group-id number;
ike-gateway [gateway-name];
ipsec-sa name {
match-policy policy-name {
destination ip-address/netmask;
destination-port number;
protocol number;
source ip-address/netmask;
source-port number;
}
proposal proposal-name;
}
member-threshold number;
server-cluster {
ike-gateway gateway-name;
retransmission-period seconds;
server-role (root-server | sub-server);
}
server-member-communication {
certificate certificate-id;
communication-type unicast;
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
number-of-retransmission number;
retransmission-period seconds;
sig-hash-algorithm (sha-256 | sha-384);
}
}
ike {
gateway gateway-name {
address ip-address ;
dead-peer-detection {
always-send;
interval seconds;
threshold number;
}
dynamic {
(hostname hostname | inet ip-address | user-at-hostname e-mail-
address);
}
ike-policy policy-name;
local-address ip-address;
1704
local-identity {
(hostname hostname | inet ip-address | user-at-hostname e-mail-
address);
}
remote-identity {
(hostname [hostname] | inet ip-address | user-at-hostname e-mail-
address);
}
routing-instance routing-instance;
}
policy policy-name {
description text;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [proposal-name];
}
proposal proposal-name {
authentication-algorithm (sha-256 | sha-384);
authentication-method pre-shared-keys;
description description;
dh-group (group14 | group24);
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
}
}
ipsec {
proposal proposal-name {
authentication-algorithm hmac-sha-256-128;
description description;
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
}
}
traceoptions {
file {
filename;
files number;
match regular-expression;
size maximum-file-size;
(world-readable | no-world-readable);
}
flag flag;
gateway-filter {
local-address ip-address;
1705
remote-address ip-address;
}
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
}
Nivel de jerarquía
Descripción
Opciones
nombre de puerta de Configure ICR puerta de enlace para el servidor VPN del grupo.
enlace
protocolos Configure la Asociación de seguridad (SA) de fase 1 con un miembro en el
servidor de grupo.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1707
Descripción | 1707
Opciones | 1707
Sintaxis
server-cluster {
ike-gateway gateway-name;
retransmission-period seconds;
server-role (root-server | sub-server);
}
Nivel de jerarquía
Descripción
Opciones
nombre de puerta Necesaria Especifique el nombre de la puerta de enlace de ICR para el dispositivo
de enlace de ike- local en el clúster de servidor del grupo. ICR puertas de enlace se configuranedit
gateway
security group-vpn server ikeen el nivel de jerarquía [].
• Varían 2 a 60 segundos.
• Predeterminada 10 segundos.
Server-role Necesaria Asigne la función del dispositivo local en el clúster de servidor del grupo,
root-server ya sub-serversea o. Solo se puede configurar un dispositivo del clúster
como servidor raíz. Puede configurar hasta otros cuatro dispositivos como
subservidor en un clúster de servidor de grupo.
Debe asegurarse de que sólo hay un servidor raíz en cualquier momento para un
clúster de servidor VPN de grupo.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1709
Descripción | 1710
Opciones | 1710
Sintaxis
server-member-communication {
certificate certificate-id;
communication-type (unicast);
encryption-algorithm (aes-128-cbc | aes-192-cbc | aes-256-cbc);
lifetime-seconds seconds;
number-of-retransmission number;
retransmission-period seconds;
sig-hash-algorithm (sha-256 | sha-384);
}
Nivel de jerarquía
Descripción
Opciones
• certificate certificate-id: permite especificar la identificación del certificado. Solo se admiten claves
RSA.
• encryption-algorithm: el cifrado se usa para las comunicaciones entre el servidor del grupo y el
miembro del grupo. Especifique aes-128-cbc, aes-192-cbco aes-256-cbc.
• sig-hash-algorithm: algoritmo de autenticación que se usa para autenticar al miembro del grupo en el
servidor del grupo. Especifique sha-256 o sha-384.
Información de versión
VÍNCULOS RELACIONADOS
afinidad de sesión
in this section
Sintaxis | 1711
Descripción | 1712
Sintaxis
session-affinity ipsec
Nivel de jerarquía
Descripción
Información de versión
A partir de Junos OS versión 15.1 X49-D10, la afinidad de sesión IPsec es compatible con el tráfico
basado en túnel IPsec por el SRX5K-MPC3-100G10G (IOC3) y el SRX5K-MPC3-40G10G (IOC3) para
los dispositivos de SRX5400, SRX5600 y SRX5800 a través de la sesión y el módulo de flujo mejorados
Almacen.
VÍNCULOS RELACIONADOS
TCP-encap
in this section
Sintaxis | 1713
Descripción | 1714
Opciones | 1714
Sintaxis
tcp-encap {
profile profile-name;
ssl-profile ssl-profile-name;
log ;
}
traceoptions {
file filename {
files number;
match regular-expression;
size maximum-file-size;
(world-readable | no-world-readable);
}
flag (all | configuration | session | tunnel);
level (all | error | info | notice | verbose | warning);
no-remote-trace’
}
1714
Nivel de jerarquía
[edit security]
Descripción
Especifique las operaciones de encapsulación TCP para un cliente de acceso remoto en una puerta de
enlace de acceso remoto de un dispositivo serie SRX para que admita mensajes IPsec encapsulados en
una conexión TCP.
Opciones
perfil-nombre Configure un perfil de encapsulación TCP para un cliente de acceso remoto en una
puerta de enlace de acceso remoto de un dispositivo serie SRX para definir la operación
de encapsulado de datos.
ssl-profile ssl- Especifique el perfil de terminación SSL que está configurado en el nivel
profile-name de jerarquía [ edit services ssl termination profile ]. Este parámetro es
necesario para el cliente de acceso remoto NCP de modo exclusivo de
sesión SSL completa.
Información de versión
VÍNCULOS RELACIONADOS
Descripción de VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo | 1325
in this section
Sintaxis | 1715
Descripción | 1716
Opciones | 1716
Sintaxis
traceoptions {
file <filename> <files files> <match match> <size size> <(world-readable |
no-world-readable)>;
flag {
all;
}
level (all | error | info | notice | verbose | warning);
1716
no-remote-trace;
}
Nivel de jerarquía
Descripción
Configure las opciones dinámicas de seguimiento de VPN. Esta característica es compatible con
SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Opciones
Bandera Operación de seguimiento que se va a realizar. Para especificar más de una operación de
seguimiento, incluya flag varias instrucciones.
• Valores
• Valores
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1718
Descripción | 1719
Opciones | 1719
1718
Sintaxis
traceoptions {
file {
filename;
files number;
match regular-expression;
size maximum-file-size;
(world-readable | no-world-readable);
}
flag flag (all | certificates | config | database | general | high-
availability | ike | next-hop-tunnels | parse | policy-manager | routing-socket
| thread | timer);
gateway-filter {
local-address ip-address;
remote-address ip-address;
}
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
Nivel de jerarquía
Descripción
Configure las opciones de seguimiento de VPN de grupo para ayudar a solucionar problemas ICR
problemas del servidor. Esto ayuda a solucionar problemas de una o varias negociaciones de la
configuración estándar de mejora. El rastreo permite al usuario ver el intercambio detallado de paquetes
y la información de la negociación. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
• filename: Nombre del archivo que va a recibir el resultado de la operación de seguimiento. Escriba
el nombre entre comillas. Todos los archivos se colocan /var/logen el directorio.
Predeterminada 10 archivos
• match regular-expression: refine el resultado para incluir líneas que contengan la expresión
regular.
Varían 10 KB a 1 GB
1720
Predeterminada 128 KB
• flag: permite realizar un seguimiento de las operaciones. Para especificar más de una operación de
seguimiento, incluya flag varias instrucciones.
• gateway-filter: configure la depuración para el túnel entre el servidor VPN del grupo y un miembro
del grupo. Esta opción está configurada en un servidor o miembro VPN de grupo.
• local-address: cuando se configura en un servidor, la dirección IP del servidor VPN del grupo.
Cuando se configura en un miembro, la dirección IP del miembro de la VPN del grupo.
• remote-address: cuando se configura en un servidor, la dirección IP del miembro VPN del grupo.
Cuando se configura en un miembro, la dirección IP del servidor VPN de grupo.
Información de versión
Instrucción introducida en la Junos OS versión 10.2. Compatibilidad con la opción para el nivel de
jerarquía [ ] agregado en Junos OS gateway-filteredit security group-vpn member ike versión 15.1X49-
D30 para vSRX.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1722
Descripción | 1722
1722
Opciones | 1723
Sintaxis
traceoptions {
file {
filename;
files number;
match regular-expression;
size maximum-file-size;
(world-readable | no-world-readable);
}
Nivel de jerarquía
Descripción
Configure ICR opciones de traza como ayuda para solucionar los problemas ICR. Esto ayuda a solucionar
problemas de una o varias negociaciones de la configuración estándar de mejora. El seguimiento de ICR
1723
permite al usuario ver el intercambio detallado de paquetes y la información de negociación en las fases
1 y 2. El seguimiento de ICR no está habilitado de forma predeterminada. De forma predeterminada,
todas las negociaciones de ICR o IPsec se registran en/var/log/KMD. Sin embargo, el usuario también
puede especificar un nombre de archivo personalizado al configurar el ICR TraceOptions.
Opciones
• filename: Nombre del archivo que va a recibir el resultado de la operación de seguimiento. Escriba
el nombre entre comillas. Todos los archivos se colocan /var/logen el directorio.
Predeterminada kmd
Predeterminada 10 archivos
• match regular-expression: refine el resultado para incluir líneas que contengan la expresión
regular.
Varían 10 KB a 1 GB
Predeterminada 1024 KB
1724
• critical: permite registrar errores de punto único que requieren su atención inmediata
• flag: permite realizar un seguimiento de las operaciones. Para especificar más de una operación de
seguimiento, incluya flag varias instrucciones.
• all: permite rastrear todas las actividades de los módulos de proceso iked
Varían 0 a 4.294.967.295
Predeterminada 0
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1726
Descripción | 1726
Opciones | 1726
1726
Sintaxis
traceoptions {
flag flag;
}
Nivel de jerarquía
Descripción
Configurar las opciones de seguimiento de IPsec. Las operaciones de seguimiento rastrean eventos IPsec
y los registran en un archivo de registro en el directorio /var/log.
Opciones
• flag: para especificar más de una operación de seguimiento, incluya varias flag instrucciones.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1728
Descripción | 1728
Opciones | 1728
Sintaxis
traceoptions {
file {
filename;
files number;
match regular-expression;
size maximum-file-size;
(world-readable | no-world-readable);
}
flag {
all;
certificate-verification;
online-crl-check;
}
no-remote-trace;
}
Nivel de jerarquía
Descripción
Configurar opciones de seguimiento de la infraestructura de clave pública (PKI). Para especificar más de
una opción de seguimiento, incluya varias instrucciones de indicador. El resultado de la opción de
seguimiento se registra en el archivo /var/log/pkid.
Opciones
• filename: Nombre del archivo que va a recibir el resultado de la operación de seguimiento. Escriba
el nombre entre comillas. Todos los archivos se colocan /var/logen el directorio. De forma
predeterminada, el nombre del archivo es el nombre del proceso que se está trazando.
Predeterminada 10 archivos
• match regular-expression: refine el resultado para incluir líneas que contengan la expresión
regular.
Varían 10 KB a 1 GB
Predeterminada 128 KB
• world-readable | : de forma predeterminada, solo puede acceder a los archivos de registro no-
world-readable el usuario que configure la operación de rastreo. La world-readable opción
permite a cualquier usuario leer el archivo. Para establecer explícitamente el comportamiento
predeterminado, utilice no-world-readable la opción.
• flag: permite realizar un seguimiento de las operaciones. Para especificar más de una operación de
seguimiento, incluya flag varias instrucciones.
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1731
Descripción | 1731
Opciones | 1731
Sintaxis
traceoptions {
file filename {
files number;
match regular-expression;
size maximum-file-size;
(world-readable | no-world-readable);
}
flag (all | configuration | session | tunnel);
level (all | error | info | notice | verbose | warning);
no-remote-trace;
}
Nivel de jerarquía
Descripción
Opciones
Predeterminada 10 archivos
Varían 10 KB a 1 GB
Predeterminada 128 KB
Bandera Operación de seguimiento que se va a realizar. Para especificar más de una operación de
seguimiento, incluya varias instrucciones Flag.
Información de versión
VÍNCULOS RELACIONADOS
Descripción de VPN de acceso remoto SSL con cliente de acceso remoto NCP exclusivo | 1325
TCP-encap | 1713
1734
Selector de tráfico
in this section
Sintaxis | 1734
Descripción | 1735
Opciones | 1736
Sintaxis
traffic-selector traffic-selector-name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
metric metric_value;
description description_value;
term term_name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
}
}
1735
Nivel de jerarquía
Descripción
Un selector de tráfico es un acuerdo entre los pares de ICR para permitir tráfico a través de un túnel, si
el tráfico coincide con un par especificado de rango de direcciones IP locales, rango de direcciones IP
remotas, rango de puerto de origen, rango de puerto de destino y protocolo. Esta funcionalidad solo es
compatible con IKEv2.
En las versiones Junos OS anteriores a 21.1R1, admiten un par de prefijo IP local y un prefijo IP remoto
por túnel IPsec para el filtrado de tráfico a través del túnel IPsec. A partir de Junos OS versión 21.1R1
hacia adelante, puede configurar varios conjuntos de prefijo IP local, prefijo IP remoto, rango de puerto
de origen, rango de puerto de destino y protocolo para la selección de tráfico.
Esto significa que varios conjuntos de intervalos de direcciones IP, intervalos de puertos y protocolos
pueden formar parte del mismo selector de tráfico definido en la RFC 7296. En esta funcionalidad, el
concepto de término se introduce en los selectores de tráfico. Cada término define un conjunto de
intervalos IP locales, de IP remoto, de puertos de origen, de puerto de destino y de protocolo. Todos los
términos combinados formarán parte de una sola SA IPsec. Los términos de un solo selector de tráfico
pueden tener dirección IPv4 e IPv6. Por lo tanto, una sola SA IPsec tiene tanto IPv4 como IPv6 como
direcciones IP locales y remotas. Se admiten un máximo de 200 términos en cada selector de tráfico.
Cuando configure varios selectores de tráfico, cada selector de tráfico conduce a una negociación
independiente que da como resultado varios túneles IPsec. Sin embargo, si configura varios términos en
un selector de tráfico, esta configuración da como resultado una sola negociación de SA IPsec con varios
prefijos, puertos y protocolos IP.
Es obligatorio configurar al menos un prefijo IP local y un prefijo IP remoto para un selector de tráfico.
Otros parámetros son opcionales.
Utilice el nivel de jerarquía para configurar varios conjuntos de intervalos de direcciones IP, intervalos de
puertos y protocolos para el mismo selector de tráfico definido en [edit security ipsec vpn vpn-name
traffic-selector traffic-selector-name term term-name] la RFC 7296.
1736
No debe configurar los mismos valores para distintos selectores de tráfico para el mismo ICR puerta de
enlace. Esta no es una configuración de selector de tráfico válida. Si configura varios selectores de
tráfico con los mismos valores, dependiendo de la configuración par, es posible que haya un uso alto de
la CPU no intencionado.
Opciones
dirección IP local/ Una dirección IP local o una subred local protegida por el dispositivo VPN
máscara de red local.
dirección IP remota/ Una dirección IP remota o una subred remota protegida por el dispositivo
máscara de red VPN del mismo nivel.
métrica metric_value Desempate cuando varios selectores de tráfico tienen rutas superpuestas
para decidir la ruta más preferida. Es opcional configurar este parámetro.
1737
• Varían De 0 a 80 caracteres
Información de versión
VÍNCULOS RELACIONADOS
Verify-path
in this section
Sintaxis | 1738
Descripción | 1738
Opciones | 1739
1738
Sintaxis
verify-path {
destination-ip ip-address;
packet-size bytes;
}
Nivel de jerarquía
Descripción
Compruebe que la ruta de acceso de IPsec antes de activar la interfaz de túnel seguro (st0) y que las
rutas asociadas con la interfaz están instaladas en la tabla de reenvío Junos OS. Esta configuración es útil
en las topologías de red en las que hay un firewall de tránsito ubicado entre los extremos del túnel VPN
y donde el tráfico de datos de IPsec que usa rutas activas para un túnel VPN establecido en la interfaz
st0 puede bloquearse mediante el servidor.
Cuando se configura esta opción, la interfaz de origen y las direcciones IP de destino que se pueden
configurar para la operación del monitor de VPN no se utilizan para la comprobación de la ruta de
acceso de los IPsec. El origen de las solicitudes ICMP en la comprobación de la ruta de acceso de IPsec
es el extremo del túnel local.
Cuando se configura la comprobación de la ruta de acceso de IPsec, tienen lugar las siguientes acciones:
1. Tras establecer el túnel VPN, se envía una solicitud ICMP al extremo del túnel del mismo nivel para
comprobar la ruta de acceso de la entidad de IPsec.
1739
El extremo del túnel del mismo nivel debe ser alcanzable por solicitudes de ICMP del monitor de VPN
y debe ser capaz de responder a la solicitud de ICMP. Mientras la verificación de ruta de datos está
en curso, " " se muestra en el campo Supervisión V de VPN en la salida del show security ipsec
security-association detail comando.
2. La st0 interfaz solo se activa cuando se recibe una respuesta del interlocutor.
El show interface st0.x resultado del comando muestra el estado de la interfaz st0 durante y después
de la comprobación de la ruta de acceso: Link-Layer-Downantes de que finalice la Up verificación y
después de que la verificación finalice correctamente.
3. Si no se recibe ninguna respuesta de ICMP del interlocutor, se envía otra solicitud de ICMP a través
del intervalo configurado del monitor de VPN (el valor predeterminado es 10 segundos) hasta que se
alcanza el umbral del monitor de VPN (el valor predeterminado es 10 veces).
Los valores de intervalo y umbral del monitor de vpn-monitor-options VPN se configuran con el nivel
de jerarquía [edit security ipsec].
4. Si no se recibe ninguna respuesta de ICMP del interlocutor después de alcanzar el umbral del monitor
de VPN, se deja de conectar el túnel VPN establecido y se vuelve a negociar el túnel VPN.
Opciones
dirección IP Dirección IP original no traducida del extremo del túnel del mismo nivel que está detrás
de destino de un dispositivo TDR. Esta dirección IP no debe ser la TDR dirección IP traducida. Esta
opción es necesaria si el extremo del túnel del mismo nivel se encuentra detrás de un
dispositivo TDR. La solicitud Verify-path ICMP se envía a esta dirección IP para que el
interlocutor pueda generar una respuesta de ICMP.
bytes de Adicional Tamaño del paquete que se utiliza para comprobar una ruta de acceso de
tamaño de seguridad IPsec antes de que se ponga en funcionamiento la interfaz st0.
paquete
El tamaño del paquete debe ser inferior a la ruta unidad máxima de transmisión (PMTU)
menos la sobrecarga de túnel. El paquete usado para la comprobación de la ruta de
acceso de IPsec no debe fragmentarse.
1740
• Predeterminada 64 bytes
Información de versión
VÍNCULOS RELACIONADOS
VPN (seguridad)
in this section
Sintaxis | 1741
Descripción | 1743
Opciones | 1743
Sintaxis
vpn vpn-name {
bind-interface interface-name;
df-bit (clear | copy | set);
distribution-profile (default-spc2-profile | default-spc3-profile |
distribution-profile-name);
copy-outer-dscp;
establish-tunnels (immediately | on-traffic | responder-only | responder-
only-no-rekey);
match-direction (input | output);
passive-mode-tunneling;
tunnel-mtu tunnel-mtu;
udp-encapsulate <dest-port dest-port>;
ike {
anti-replay-window-size anti-replay-window-size;
gateway gateway-name;
idle-time seconds;
install-interval seconds;
ipsec-policy ipsec-policy-name;
no-anti-replay;
proxy-identity {
local ip-prefix;
remote ip-prefix;
service (any | service-name);
}
}
manual {
authentication {
algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
encryption {
algorithm (3des-cbc | aes-128-cbc | aes-128-gcm | aes-192-cbc |
aes-256-cbc | aes-256-gcm | des-cbc);
key (ascii-text key | hexadecimal key);
}
external-interface external-interface-name;
gateway ip-address;
protocol (ah | esp);
spi spi-value;
1742
}
multi-sa {
forwarding-class (expedited-forwarding | assured-forwarding | best-
effort | network-control);
}
traffic-selector traffic-selector-name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
metric metric_value;
description description_value;
term term_name {
local-ip ip-address/netmask;
remote-ip ip-address/netmask;
protocol protocol_name/protocol_id;
source-port low-high;
destination-port low-high;
}
}
vpn-monitor {
destination-ip ip-address;
optimized;
source-interface interface-name;
verify-path {
destination-ip ip-address;
packet-size bytes;
}
}
}
Nivel de jerarquía
Descripción
Configure una VPN de IPsec. Una VPN proporciona un medio mediante el cual los equipos remotos se
comunican de forma segura a través de una WAN pública, como Internet. Una conexión VPN puede
vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso telefónico remoto y una LAN. Los flujos de
tráfico entre estos dos puntos pasan a través de recursos compartidos como enrutadores, conmutadores
y otros equipos de red que hacen parte de la WAN pública. Para proteger la comunicación VPN mientras
se pasa a través de la WAN, los dos participantes crean un túnel de seguridad IP (IPsec). IPsec es un
conjunto de protocolos relacionados para proteger las comunicaciones de forma criptográfica en la capa
de paquetes IP.
Opciones
BIND-interface Configure la interfaz de túnel a la que está enlazada la red privada virtual (VPN)
basada en ruta.
• Valores
• Valores
• Valores
• Valores
encapsulación Adicional Utilice el puerto de destino UDP especificado para el encabezado UDP
UDP que se anexa a la encapsulación ESP. Habilitar el reenvío de varias rutas de acceso
1746
Información de versión
VÍNCULOS RELACIONADOS
monitor de VPN
in this section
Sintaxis | 1747
Descripción | 1748
Opciones | 1748
Sintaxis
vpn-monitor {
destination-ip ip-address;
optimized;
source-interface interface-name;
verify-path {
destination-ip ip-address;
packet-size bytes;
}
}
Nivel de jerarquía
Descripción
Opciones
IP de destino Especifique el destino de los pings del Protocolo de mensajes de control de Internet
(ICMP). Si se utiliza esta instrucción, el dispositivo usa de forma predeterminada la
dirección de puerta de enlace del mismo nivel.
adecuada Especifique que la optimización de supervisión VPN está habilitada para el objeto VPN.
Cuando se habilita la optimización de supervisión de VPN, el dispositivo de serie SRX
solo envía solicitudes de eco de ICMP (pings) cuando hay tráfico saliente y ningún tráfico
entrante del elemento homólogo configurado a través del túnel VPN. Si hay tráfico
entrante a través del túnel VPN, el dispositivo de serie SRX considera que el túnel está
activo y no envía pings a los interlocutores.
Dado que las solicitudes de eco ICMP solo se envían cuando sea necesario para
determinar liveliness del mismo nivel, la optimización del monitor de VPN puede ahorrar
recursos en el dispositivo serie SRX. Además, las solicitudes de eco ICMP pueden activar
vínculos de copia de seguridad costosos que, de lo contrario, no se utilizarían.
interfaz de Especifique la interfaz de origen para las solicitudes ICMP (supervisión de VPN
origen "saludos"). Si no se especifica ninguna interfaz de origen, el dispositivo utiliza
automáticamente la interfaz de extremo de túnel local.
ruta de Especifique la ruta de verificación para comprobar la ruta de datos IPsec antes de activar
verificación la interfaz de túnel seguro (st0) y las rutas asociadas con la interfaz se instalan en la tabla
Junos OS de reenvío.
• packet-size bytes— (Opcional) El tamaño del paquete que se utiliza para comprobar
una ruta de datos IPsec antes de que se abre la interfaz st0. El tamaño del paquete
debe ser inferior a la ruta unidad máxima de transmisión (PMTU) menos la
sobrecarga de túnel. El paquete usado para la comprobación de la ruta de acceso de
IPsec no debe fragmentarse. El intervalo del tamaño del paquete es de 64 a 1350
bytes y el valor predeterminado del tamaño del paquete es de 64 bytes
Información de versión
Instrucción introducida en Junos OS versión 8,5. verify-path palabra clave destination-ip y se agrega en
Junos os versión 15.1-D70. packet-size la opción agregada en Junos os Release 15.1 X49-D120.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1750
Descripción | 1750
Opciones | 1751
Sintaxis
windows-logon {
auto-dialog-open;
disconnect-at-logoff;
domain domain;
eap-auth;
flush-credential-at-logoff;
lead-time-duration seconds;
mode (automatic | manual);
}
Nivel de jerarquía
Descripción
Defina la configuración de inicio de sesión de Windows Juniper Secure Connect dispositivo de cliente
remoto.
1751
Opciones
tiempo de tiempo de Duración del tiempo de tiempo de inicio de sesión del dominio en
espera cuestión de segundos.
• Predeterminada 45 segundos
• Valores
protección
Información de versión
VÍNCULOS RELACIONADOS
xauth-atributos
in this section
Descripción | 1753
Opciones | 1753
Sintaxis (inet)
xauth-attributes {
primary-dns IP address;
primary-wins IP address;
secondary-dns IP address;
secondary-wins IP address;
}
Sintaxis (inet6)
xauth-attributes {
primary-dns-ipv6 IP address;
1753
secondary-dns-ipv6 IP address;
}
Nivel de jerarquía
Descripción
Opciones
Información de versión
VÍNCULOS RELACIONADOS
Comandos operativos
Mostrar las estadísticas del servidor VPN del grupo de seguridad | 1914
in this section
Sintaxis | 1758
Descripción | 1758
Sintaxis
Descripción
Borre todas las conexiones de usuario VPN dinámicas. Esta característica es compatible con SRX300,
SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Quite
Campos de resultados
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1760
Descripción | 1760
Sintaxis
Descripción
Borrar la conexión de usuario de VPN dinámico para el nombre de usuario especificado. Esta
característica es compatible con SRX300, SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
Quite
Campos de resultados
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1761
Descripción | 1761
Opciones | 1762
Sintaxis
Descripción
Borrar toda la información actual de las SA ICR, TEK y KEK. El VPNv2 de grupo se admite en
enrutadores de la serie MX, SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 e instancias de vSRX y dispositivos de SRX4600.
1762
Opciones
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1763
Descripción | 1763
Opciones | 1763
Sintaxis
Descripción
Desactive ICR Asociación de seguridad (SA) para un miembro del grupo. Group VPNv2 es compatible
con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos
SRX4600 e instancias de vSRX.
Opciones
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1765
Descripción | 1765
Opciones | 1765
Sintaxis
Descripción
Borrar Asociación de SA de grupo para un miembro del grupo. Group VPNv2 es compatible con SRX300,
SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e
instancias de vSRX.
Opciones
• ninguna: desactive todas las SLA de VPN del grupo para el miembro del grupo.
• index— (Opcional) Borrar la SA VPN del grupo con este número de índice.
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1766
Descripción | 1767
Opciones | 1767
Sintaxis
Descripción
Borrar estadísticas de SA de IPsec. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1768
Descripción | 1768
Opciones | 1768
Sintaxis
Descripción
Borrar estadísticas de IPsec. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
índice Adicional Borre las estadísticas de IPsec para la SA con este número de índice.
1769
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1770
Descripción | 1770
Opciones | 1770
Sintaxis
Descripción
Borrar miembros activos para un grupo especificado. Si no se especifica ninguna opción, los miembros se
borrarán de todos los grupos. Después de que se haya emitido este comando, será necesario volver a
registrar a los miembros. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Un miembro del grupo puede utilizar una SA ICR para registrarse en varios grupos. Cuando se borran
miembros para un grupo especificado, también se borrarán todas ICR SA existentes que puedan
utilizarse para registrarse en el grupo.
Opciones
Quite
Campos de resultados
• El grupo no existe
1771
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1771
Descripción | 1772
Opciones | 1772
Sintaxis
Descripción
Borrar grupo VPNv2 estadísticas del clúster de servidor. Group VPNv2 es compatible con SRX300,
SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e
instancias de vSRX.
Opciones
ninguno Borrar grupo VPNv2 estadísticas del clúster de servidor para todos los grupos.
Group Group -Name Adicional Borrar grupo VPNv2 estadísticas de clúster de servidor para el nombre
de grupo especificado.
group-id group-id Adicional Borrar grupo VPNv2 estadísticas del clúster de servidor para el
identificador de grupo especificado.
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1773
Descripción | 1773
Opciones | 1773
Sintaxis
Descripción
Borrar estadísticas del grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
Group Group -Name Adicional Borrar las estadísticas del nombre del grupo especificado.
group-id group-id Adicional Borrar las estadísticas del identificador de grupo especificado.
1774
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
Mostrar las estadísticas del servidor VPN del grupo de seguridad | 1914
Descripción general del grupo VPNv2 | 762
in this section
Sintaxis | 1775
Descripción | 1775
Opciones | 1775
Sintaxis
Descripción
Información clara acerca de los contadores del índice de parámetros de seguridad (SPI) de Intercambio
de claves por red no válidos (ICR).
Opciones
• gateway-name — (Opcional) Desactive los contadores SPI no válidos para la puerta de enlace dada.
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1776
Descripción | 1777
Opciones | 1777
Sintaxis
Descripción
Información clara acerca de las asociaciones de seguridad Intercambio de claves por red actuales (ICR
SA). Para IKEv2, el dispositivo borra la información acerca de las SA de ICR y la SA de IPSec asociada.
Opciones
• peer-address — (Opcional) Desactive ICR de seguridad para el par de destino en esta dirección IP.
• fpc slot-number — Específico para dispositivos de la serie SRX. Información clara acerca de las SA
existentes de ICR en esta ranura de concentrador de PIC flexible (FPC).
• kmd-instance— Específico para dispositivos de la serie SRX. Información clara sobre las SA de ICR
existentes en el proceso de administración de claves (el daemon, que en este caso es KMD slot-
number ) identificado slot-numberpor FPC y PIC.
• all: todas las instancias de KMD que se ejecutan en la unidad de procesamiento de servicios
(SPU).
• pic slot-number — Específico para dispositivos de la serie SRX. Información clara acerca de las SAs
existentes de ICR en esta ranura de PIC.
• sa-type shortcut— (Opcional para ADVPN) Tipo de SA. shortcut es la única opción para esta versión.
• ha-link-encryption— (Opcional) Borrar información acerca de las ICR actuales solo para túneles de
vínculo de alta AD disponibilidad. Cuando habilite la función de alta disponibilidad, no puede eliminar
túneles de cliente en el nodo de respaldo.
1778
Quite
Campos de resultados
Información de versión
Comando introducido en Junos OS versión 8,5. Las fpc, pic, opciones kmd-instance y que se agregaron
en Junos os versión 9,3. La port opción agregada en Junos OS versión 10,0. La family opción agregada
en Junos OS versión 11,1.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1779
Descripción | 1779
Opciones | 1779
Sintaxis
Descripción
Opciones
• fpc slot-number — Específico para dispositivos de la serie SRX. Información clara acerca de las SA de
IPsec existentes en esta ranura de concentrador de PIC flexible (FPC).
• kmd-instance— Específico para dispositivos de la serie SRX. Información clara acerca de las
asociaciones de IPsec existentes en el proceso de administración de claves (el daemon, que en este
caso es slot-number KMD) slot-number identificado por FPC y PIC.
• all: todas las instancias de KMD que se ejecutan en la unidad de procesamiento de servicios
(SPU).
• pic slot-number — Específico para dispositivos de la serie SRX. Información clara acerca de las
asociaciones de IPsec existentes en esta ranura de PIC.
1780
Quite
Campos de resultados
Información de versión
Comando introducido en Junos OS versión 8,5. Las fpcopciones pic, de kmd-instance y que se
agregaron en Junos os versión 9,3. La family opción agregada en Junos OS versión 11,1.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1781
Descripción | 1781
Opciones | 1781
1781
Sintaxis
Descripción
Opciones
• fpc slot-number — Específico para dispositivos de la serie SRX. Borrar las estadísticas de las
asociaciones de seguridad IPsec existentes en esta ranura de concentrador de PIC flexible (FPC).
• index SA-index-number —(Opcional) Desactive las estadísticas IPsec para la SA con este número de
índice.
• kmd-instance— Específico para dispositivos de la serie SRX. Información clara sobre las SA de ICR
existentes en el proceso de administración de claves (el daemon, que en este caso es KMD slot-
number ) identificado slot-number por FPC y PIC.
• all: todas las instancias de KMD que se ejecutan en la unidad de procesamiento de servicios
(SPU).
• pic slot-number — Específico para dispositivos de la serie SRX. Borre las estadísticas de las
asociaciones de IPsec existentes en esta ranura de PIC.
Quite
Campos de resultados
Información de versión
Comando introducido en Junos OS versión 8,5. fpc and pic opciones agregadas en Junos OS versión 9,3.
kmd-instance opción agregada en Junos OS versión 10,4.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1783
Descripción | 1783
Sintaxis
Descripción
Quite
Resultados de ejemplo
nombre de comando
El clear security ike stats comando no muestra ningún resultado. Para ver las ICR estadísticas, ejecute el
show security ike stats detail comando.
Discarded : 0 ID error : 0
Integrity fail : 0 Invalid SPI : 0
Invalid exchange type: 0 Invalid length: 0
Disorder : 0
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1785
Descripción | 1786
Sintaxis
Descripción
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1787
Descripción | 1787
Opciones | 1787
1787
Sintaxis
Descripción
Borrar la información de par de claves de infraestructura de clave pública (PKI) para certificados digitales
locales en el dispositivo.
Opciones
• all: borrar la información del par de claves para todos los certificados locales.
• certificate-id certificate-id : borrar la información del par de claves para el certificado local con este
ID de certificado.
claros y de seguridad
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1788
Descripción | 1789
Opciones | 1789
Sintaxis
Descripción
Borre la información de infraestructura de clave pública (PKI) de los certificados digitales locales del
dispositivo.
Opciones
• all: desactive la información de todos los certificados digitales locales del dispositivo.
No puede borrar el certificado autofirmado generado automáticamente con clear security pki local-
certificate all el comando. Para borrar el certificado autofirmado, necesita usarlo system-generated
como opción.
claros y de seguridad
Campos de resultados
Resultados de ejemplo
Resultados de ejemplo
Información de versión
A partir de Junos OS versión 20.1R1 en vSRX 3.0, puede proteger las claves privadas utilizadas por PKID
e IKED mediante el servicio del módulo de seguridad de hardware Microsoft Azure Key Vault (HSM).
Puede establecer un túnel VPN basado en PKI mediante las claves generadas en el HSM. La opción
certificate-id de concentrador en id de certificado no está disponible para la configuración después de
generar el par de claves del HSM.
A partir de Junos OS versión 20.4R1 versión vSRX la versión 3.0, puede proteger las claves privadas
utilizadas por PKID e IKED mediante el servicio de administración de claves de AWS (KMS). Puede
establecer un túnel VPN basado en PKI mediante las claves generadas por el KMS. La opción certificate-
id de concentrador en id de certificado no está disponible para la configuración después de generar el
par de claves de PKI.
NOTA: No puede volver a inscribir manualmente los certificados locales cuando vuelva a generar
pares de claves si no genera pares de claves durante la reinscripción. Se muestra HSM does not
support auto re-enrollment with new keypair error: configuration check-out failed una
advertencia en el resultado del show security pki auto-re-enrollment comando.
Además, cuando desactive los certificados locales mediante los run clear security pki local-
certificate all comandos y recibirá una run clear security pki key-pair allKey pair deleted
successfully but still present at HSM. Please purge the keypair from keyvault before re-using the
name advertencia.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1791
Descripción | 1791
Sintaxis
Descripción
mantenimiento
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1792
Descripción | 1792
Opciones | 1793
Sintaxis
Descripción
Habilite el seguimiento de ICR en un túnel VPN único especificado por una dirección IP local y remota.
El uso de este comando es una alternativa a la configuración de ICR TraceOptions; para usar este
comando no es necesaria ninguna configuración. Este comando solo realiza un seguimiento de un túnel,
1793
mientras que la configuración de ICR TraceOptions afecta a todos los túneles VPN del dispositivo serie
SRX.
1. Identifique las direcciones IP locales y remotas del túnel VPN que desea rastrear.
• Para los dispositivos de la serie SRX, excepto la línea de dispositivos SRX5000 con tarjeta SRX5K-
SPC3, la información de seguimiento se almacena en el /var/log/kmd archivo.
• Para la línea de dispositivos SRX5000 con tarjeta SRX5K-SPC3 (incluido el modo mixto), la
información de seguimiento se almacena en el /var/log/iked archivo.
4. Desactive el seguimiento por ICR túnel con el request security ike debug-disable comando.
• Para los dispositivos de la serie SRX, excepto la línea de dispositivos SRX5000 con tarjeta SRX5K-
SPC3, ejecute el show log kmd comando.
• Para la línea de dispositivos SRX5000 con tarjeta SRX5K-SPC3 (incluido el modo mixto), ejecute el
show log iked comando.
Opciones
mantenimiento
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1794
Descripción | 1795
Sintaxis
Descripción
Quite
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1796
Descripción | 1796
Opciones | 1796
1796
Sintaxis
Descripción
Para el proxy de reenvío SSL, necesita cargar certificados de CA de confianza en su sistema. De forma
predeterminada, Junos OS proporciona una lista de certificados de CA de confianza que incluyen
certificados predeterminados utilizados por los exploradores comunes. De manera alternativa, puede
definir su propia lista de certificados de CA de confianza e importarlos en el sistema.
Utilice este comando para cargar los certificados predeterminados o para especificar una ruta de acceso
y un nombre de archivo de los certificados de CA de confianza que defina.
Opciones
mantenimiento
Campos de resultados
Resultados de ejemplo
user@host> request security pki ca-certificate ca-profile-group load ca-group-name ca-default filename
default
Resultados de ejemplo
...
ca-manual_195_sysgen: Loading done.
ca-manual_196_sysgen: Loading done.
ca-profile-group 'ca-manual’ successfully loaded. Success[193] Skipped[3]
Información de versión
Comando introducido en Junos OS versión 12,1; default opción agregada en Junos os de la versión 12.1
X47-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1799
Descripción | 1799
Opciones | 1799
Sintaxis
Descripción
Solicite un certificado digital de una entidad de certificación (CA) en línea con el protocolo de inscripción
de certificados simple (SCEP).
Opciones
mantenimiento
Campos de resultados
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1801
Descripción | 1801
1801
Opciones | 1801
Sintaxis
Descripción
Cargue manualmente el certificado digital de una entidad emisora de certificados (CA) desde una
ubicación especificada.
Opciones
ruta de filename/filename Ubicación del directorio y nombre de archivo del certificado digital de la
entidad emisora.
mantenimiento
1802
Campos de resultados
Resultados de ejemplo
user@host> request security pki ca-certificate load ca-profile 2Kkey filename /var/tmp/
2Kkey.pem
Fingerprint:
a0:08:bb:1f:75:96:76:cd:ee:db:36:10:b6:c6:d8:df:5e:02:05:05 (sha1)
f5:58:6b:de:7c:d6:cd:90:5a:18:c3:0e:3d:95:da:25 (md5)
Do you want to load this CA certificate ? [yes,no] (no) yes
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1803
Descripción | 1803
Opciones | 1803
Sintaxis
Descripción
Opciones
mantenimiento y seguridad
Campos de resultados
Resultados de ejemplo
Resultados de ejemplo
solicitar PKI de seguridad CA-Certificate Verify CA: Profile CA1 (CRL no descargada)
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1805
Descripción | 1805
Opciones | 1806
Sintaxis
Descripción
Instale manualmente una lista de revocación de certificados (CRL) en el dispositivo desde una ubicación
especificada.
1806
Opciones
mantenimiento
Campos de resultados
Resultados de ejemplo
user@host> request security pki crl load ca-profile ca-test filename example-inter-ca.crl
CRL for CA profile ca-test loaded successfully
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1807
Descripción | 1807
Opciones | 1808
Sintaxis
Descripción
Genere manualmente una solicitud de certificado digital local en formato #10 de estándar de
criptografía de clave pública (PKCS-10).
1808
Opciones
certificate-id Nombre del certificado digital local y del par de claves pública y privada.
certificate-id-
name
nombre de El nombre de dominio completo (FQDN) proporciona la identidad del propietario
dominio nombre del certificado para las negociaciones de Intercambio de claves por red (ICR) y
de dominio
proporciona una alternativa al nombre del sujeto.
• O: nombre de la organización
• L— Localidad
• ST— Estado
• C— País
• sha256: SHA-256 síntesis solo para RSA o ECDSA (valor predeterminado para
ECDSA).
mantenimiento
Campos de resultados
Resultados de ejemplo
Información de versión
Comando introducido en Junos OS versión 7,5. Soporte a digest la opción agregada en Junos os versión
12.1 X45-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1810
Descripción | 1811
Opciones | 1811
Sintaxis
Descripción
Generar un par de claves pública y privada de infraestructura de claves públicas (PKI) para un certificado
digital local.
Opciones
certificate-id Nombre del certificado digital local y del par de claves pública y privada.
certificate-id-
name
cambiar Tamaño del par de claves. El par de claves puede ser 256, 384, 521, 1024, 2048 o 4096
bits. Los tamaños de pares de claves 256, 384 y 521 son compatibles con ECDSA. En el
caso del algoritmo de señal digital (DSA) y de Rivest Shamir Adleman (RSA), los
algoritmos tienen un tamaño de 1024, 2048 o 4096. El tamaño predeterminado del par
de claves es 1024 para DSA y 2048 para RSA.
escríba Algoritmo que se utilizará para el cifrado del par de claves pública y privada:
mantenimiento
1812
Campos de resultados
Resultados de ejemplo
user@host> request security pki generate-key-pair type [xxx] size [xxx] certificate-id test
Generated key pair test, key size [xxx] bits
Información de versión
Las opciones compatibles con el algoritmo de firma digital de curva elíptica (ECDSA) se agregan en Junos
OS versión 12.1 X45-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1813
Descripción | 1813
Opciones | 1814
Sintaxis
Descripción
Exporte el par de bits para un certificado de entidad final (EE). El par de KEYPAIR exportado está cifrado
y se puede importar junto con el certificado EE. Con el comando request security pki key-pair export de
CLI, puede exportar el archivo de pares de claves de PKI como una copia de seguridad o comprobar el
archivo para solucionar problemas. Es recomendable denegar el acceso al comando request security pki
key-pair export CLI a todos los usuarios y restringir este comando solo a los usuarios con privilegios.
1814
Opciones
contraseña de Adicional Frase de contraseña para proteger los datos de par para el formato
contraseña PEM. La frase de contraseña puede tener hasta 64 caracteres. Si se especifica,
debe usarse al importar el par de contraseñas.
tipo (der | PEM) Adicional Tipo de formato, ya sea DER o PEM. PEM es el valor predeterminado.
mantenimiento
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1815
Descripción | 1816
Opciones | 1816
Sintaxis
Descripción
Inscriba e instale un certificado digital local en línea mediante CMPv2. Este comando carga tanto el
certificado de entidad final (EE) como los certificados de CA basándose en la configuración del servidor
de la entidad emisora. Se puede usar la lista de revocación de certificados (CRL) o el protocolo de estado
de certificados en línea (OCSP) para comprobar el estado de revocación de un certificado.
Opciones
ca-dn subject-dn El nombre completo (DN) de la entidad emisora de certificados que inscribe el
certificado EE debe especificarse durante la inscripción. Este parámetro opcional
es obligatorio si el certificado de entidad emisora aún no está inscrito. Si ya se ha
inscrito el certificado de CA, el nombre completo del sujeto se extrae del
certificado de la CA.
secreto secreto Valor secreto fuera de banda recibido del servidor de la entidad emisora de
compartido certificados.
certificate-id Nombre del certificado digital local y del par de claves pública y privada.
certificate-id-name
nombre de dominio Nombre de dominio completo (FQDN). El FQDN proporciona la identidad del
nombre de dominio propietario del certificado para las negociaciones de Intercambio de claves por
red (ICR) y proporciona una alternativa al nombre del sujeto.
• O: nombre de la organización
• ST— Estado
• C— País
mantenimiento y seguridad
Campos de resultados
Resultados de ejemplo
nombre de comando
user@host> request security pki local-certificate enroll cmpv2 ca-profile root-552 ca-dn
DC=example,CN=root-552 certificate-id tc552 email tc552-root@example.net domain-name example.net ip-
address 192.0.2.22 ca-secret example ca-reference 51892 subject CN=example,OU=SBU,O=552-22
Certificate enrollment has started. To view the status of your enrollment, check
the public key infrastructure log (pkid) log file at /var/log/pkid.
1818
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1818
Descripción | 1819
Opciones | 1820
Sintaxis
domain-name domain-name
email email-address
ip-address ip-address
ipv6-address ipv6-address
scep-digest-algorithm (md5 | sha-1)
scep-encryption-algorithm (des | des3)
subject subject-distinguished-name
Información de versión
Comando introducido en Junos OS versión 9,1. Opción de número de serie (SN) que se agrega al campo
de salida de la cadena de asunto de Junos OS de la versión 12.1 X45. scep palabra clave ipv6-address y
opción agregada en Junos os versión 15.1-D40.
A partir de Junos OS versión 20.1R1 en vSRX 3.0, puede proteger las claves privadas utilizadas por PKID
e IKED mediante el servicio del módulo de seguridad de hardware Microsoft Azure Key Vault (HSM).
Puede establecer un túnel VPN basado en PKI mediante las claves generadas en el HSM. La opción
certificate-id de concentrador en id de certificado no está disponible para la configuración después de
generar el par de claves del HSM.
A partir de Junos OS versión 20.4R1 versión vSRX la versión 3.0, puede proteger las claves privadas
utilizadas por PKID e IKED mediante el servicio de administración de claves de AWS (KMS). Puede
establecer un túnel VPN basado en PKI mediante las claves generadas por el KMS. La opción certificate-
id de concentrador en id de certificado no está disponible para la configuración después de generar el
par de claves de PKI.
Descripción
Inscriba e instale un certificado digital local en línea con el protocolo de inscripción de certificados
simple (SCEP).
Si escribe el request security pki local-certificate enroll comando sin especificar la scep palabra clave or
cmpv2 , SCEP es el método predeterminado para inscribir un certificado local.
1820
Opciones
Digest (SHA-1 | Algoritmo hash utilizado para firmar certificados RSA, ya sea SHA-1 o
SHA-256) SHA-256. El valor predeterminado es SHA-1.
nombre de dominio Nombre de dominio completo (FQDN). El FQDN proporciona la identidad del
nombre de dominio propietario del certificado para las negociaciones de Intercambio de claves por
red (ICR) y proporciona una alternativa al nombre del sujeto.
• O: nombre de la organización
• ST— Estado
• C— País
mantenimiento y seguridad
Campos de resultados
Resultados de ejemplo
nombre de comando
user@host> request security pki local-certificate enroll scep certificate-id r3-entrust-scep ca-profile
entrust domain-name router3.example.net subject "CN=router3,OU=Engineering,O=example,C=US"
challenge-password 123
Certificate enrollment has started. To view the status of your enrollment, check
the public key infrastructure log (pkid) log file at /var/log/pkid. Please save
the challenge-password for revoking this certificate in future. Note that this
password is not stored on the router.
1822
Resultados de ejemplo
Possible completions:
<certificate-id> Certificate identifier
example
error: Failed to generate key pair at HSM. Found a key with the same name at
HSM. Use a different certificate id next time. Refer to PKID logs for more
details
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1823
Descripción | 1823
Opciones | 1823
Sintaxis
Descripción
Opciones
tipo (der | PEM) Formato de certificado: DER (Distinguished Encoding Rules) o PEM
(correo de privacidad mejorada).
mantenimiento
Campos de resultados
Resultados de ejemplo
user@host> request security pki local-certificate export filename /var/tmp/my-cert.pem certificate-id nss-
cert type pem
certificate exported successfully
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1825
Descripción | 1825
Opciones | 1825
Sintaxis
Descripción
Opciones
• O: nombre de la organización
• L— Localidad
• ST— Estado
• C— País
A partir de Junos OS Release 18.1 R3, el algoritmo de cifrado predeterminado que se utiliza para validar
certificados de PKI autofirmados automáticamente y generados manualmente es SHA-256 (algoritmo de
hash seguro 256). Antes de Junos OS Release 18.1 R3, se utiliza SHA-1 como algoritmo predeterminado
de cifrado.
email email-address— (Opcional) Dirección de correo electrónico del titular del certificado.
mantenimiento y seguridad
1827
Campos de resultados
Resultados de ejemplo
Información de versión
Comando introducido en Junos OS versión 9,1. Soporte a digest la opción agregada en Junos os versión
12.1 X45-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1828
Descripción | 1828
1828
Opciones | 1828
Sintaxis
Descripción
Opciones
clave Ruta de archivo que contiene la clave privada o el par de claves que se va a cargar
mantenimiento y seguridad
1829
Campos de resultados
Resultados de ejemplo
user@host> request security pki local-certificate load filename cert_name.crt key key_name.key certificate-
id test
Local certificate cert_name.crt loaded successfully
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1830
Descripción | 1830
Opciones | 1831
Sintaxis
Descripción
Volver a inscribir manualmente un certificado de la entidad final (EE) con el protocolo de administración
de certificados versión 2 (CMPv2). Este comando permite al administrador iniciar la renovación del
certificado EE mediante CMPv2 y se puede usar junto con la set security pki auto-re-enrollment cmpv2
configuración de inscripción automática.
1831
Opciones
mantenimiento y seguridad
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1832
Descripción | 1832
Opciones | 1833
Sintaxis
Descripción
Volver a inscribir manualmente un certificado de entidad final (EE) con el protocolo de inscripción de
certificados simple (SCEP). Este comando permite al administrador iniciar la renovación del certificado
EE usando SCEP y se puede usar junto con la set security pki auto-re-enrollment scep configuración de
inscripción automática.
A partir de Junos OS versión 20.1R1 en vSRX 3.0, puede proteger las claves privadas utilizadas por PKID
e IKED para establecer un túnel VPN basado en PKI mediante los documentos clave generados en el
1833
servicio de módulo de seguridad de hardware ( FINALMENTE) Microsoft Azure Key Vault e Junos OS
partir de Junos OS versión 20.4R1 en vSRX 3.0, la misma función se admite a través del servicio de
administración de claves de AWS (KMS).
No puede volver a inscribir manualmente los certificados locales con la opción "volver a generar par de
claves". Se muestra un mensaje de error.
[edit]
root@vsrx-1# ...te-id hsm1 ca-profile azure-ca challenge-password juniper re-
generate-keypair
error: HSM Error: Re-enrollment is not allowed with re-generate key-pair option.
Opciones
algoritmo de síntesis de Adicional Algoritmo hash Digest, ya sea MD5 o SHA-1; El valor
SCEP predeterminado es SHA-1.
algoritmo de encriptación Adicional Algoritmo de cifrado, ya sea DES o DES3; DES3 es el valor
de SCEP predeterminado.
mantenimiento y seguridad
1834
Campos de resultados
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1835
Descripción | 1835
Opciones | 1835
Sintaxis
Descripción
Opciones
mantenimiento y seguridad
Campos de resultados
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1837
Descripción | 1837
Sintaxis
Descripción
Comprobar la integridad de los archivos de infraestructura de claves públicas (PKI). Esta característica
solo es compatible con SRX5400, SRX5600 y dispositivos de SRX5800 e instancias de vSRX.
mantenimiento
Campos de resultados
Resultados de ejemplo
Información de versión
No utilice este comando para las liberaciones de criterios comunes o que no sean de FIPS.
Recomendamos que no utilice este comando para ninguna Junos OS versión 15.1-D40 o versiones
posteriores.
in this section
Sintaxis | 1838
Descripción | 1839
Opciones | 1839
Sintaxis
pic <pic-number>
[thread-id <tid>]
[remote-id <rid>]
Descripción
Redistribuya los túneles que pertenecen a una VPN automática o una puerta de enlace de sitio a sitio a
una nueva unidad de procesamiento.
Este comando migra los túneles una sola vez y es válido solo durante 30 minutos, si el par no saca los
túneles de inmediato. Después de la ejecución del comando, los túneles subsiguientes para el par se
establecen en la misma FPC, PIC e thread-id (solo si se especifica).
En el caso de las puertas de enlace vpn automáticas, una vez que se derriban los túneles, se espera que
el par vuelva a establecer el túnel.
Este comando causa trastornos del tráfico cuando se usa en un túnel ya establecido. Si el comando se
usa en un túnel que ya está anclado a la unidad de procesamiento de destino, no derribará el túnel y lo
restablecerá.
Esta función solo se admite en tarjetas SRX5K-SPC3 (SPC3) y en modo mixto (tarjetas SPC3 o SRX5K-
SPC-4-15-320 (SPC2).
Cuando un túnel cae, solo puede usar syslog para rastrear por qué un túnel está anclado a una unidad de
procesamiento diferente.
Si desea migrar el túnel de regreso a la FPC o PIC anterior (es decir, el perfil predeterminado), puede
volver a redistribuir el túnel o ejecutar el clear security ike security-associations index SA-index-
number comando.
Opciones
tid de id de hilo (Opcional) Número de ID de subproceso. Solo válido para SPC3. (1..27)
1840
mantenimiento
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1841
Descripción | 1841
Sintaxis
Descripción
vista
Campos de resultados
Tabla 113 en la página 1841enumera los campos de salida del show network-access address-
assignment pool comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 113: Mostrar los campos de resultados del grupo de asignación de direcciones de acceso a la red
Hardware address Dirección MAC del cliente. Para los clientes XAuth, el valor es NA.
1842
Tabla 113: Mostrar los campos de resultados del grupo de asignación de direcciones de acceso a la red
(Continued)
Resultados de ejemplo
nombre de comando
Información de versión
in this section
Sintaxis | 1843
Descripción | 1843
Opciones | 1844
Sintaxis
Descripción
Mostrar las políticas dinámicas descargadas en el miembro del grupo. Este comando es compatible con
dispositivos SRX100, SRX110, SRX210, SRX220, SRX240 y SRX650.
1844
Opciones
• none: muestra información básica de todas las políticas instaladas en el miembro del grupo.
• detail— (Opcional) Muestra una vista detallada de todas las políticas instaladas en el miembro del
grupo.
• from-zone— (Opcional) Muestra información acerca de las políticas instaladas en el miembro del
grupo para la zona de origen especificada.
• scope-id— (Opcional) Muestra información acerca de las políticas instaladas en el miembro del grupo
para el identificador de política especificado.
• to-zone— (Opcional) Muestra información acerca de las políticas instaladas en el miembro del grupo
para la zona de destino especificada.
vista
Campos de resultados
Tabla 114 en la página 1844enumera los campos de salida del show security dynamic-policies comando.
Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 114: Mostrar los campos de resultados de políticas dinámicas de seguridad (Continued)
Source addresses Para el modo de pantalla estándar, los nombres de las direcciones de
origen de una directiva. Los conjuntos de direcciones se resuelven en
sus nombres individuales. (En este caso, solo se proporcionan los
nombres, no sus direcciones IP).
Tabla 114: Mostrar los campos de resultados de políticas dinámicas de seguridad (Continued)
Resultados de ejemplo
Resultados de ejemplo
Sequence number: 1
From zone: untrust, To zone: Host
Source addresses:192.168.10.0/24
Destination addresses:192.168.20.0/24
Application: Unknown
IP protocol: 6, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [80-80]
Tunnel: Test Tunnel, Type: IPSec, Index: 1003
Policy: policy_internal-0001, action-type: permit, State: enabled, Index:
1048583,AI: disabled, Scope Policy: 7
Policy Type: Dynamic
Sequence number: 1
From zone: Internal, To zone: Host
Source addresses:192.168.1.0/24
Destination addresses:192.168.20.0/24
Application: Unknown
IP protocol: 6, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [80-80]
Tunnel: Test Tunnel, Type: IPSec, Index: 1005
Policy: policy_external-0001, action-type: permit, State: enabled, Index:
1048584,AI: disabled, Scope Policy: 8
Policy Type: Dynamic
Sequence number: 1
From zone: Internal, To zone: untrust
Source addresses:192.168.1.0/24
Destination addresses:192.168.20.0/24
Application: Unknown
IP protocol: 6, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [80-80]
Tunnel: Test Tunnel, Type: IPSec, Index: 1006
Policy: policy_forward-0002, action-type: permit, State: enabled, Index:
2097156,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 2
From zone: Host, To zone: untrust
Source addresses:192.168.10.0/24
Destination addresses:192.168.20.0/24
Application: Unknown
IP protocol: 6, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
1849
Resultados de ejemplo
Resultados de ejemplo
Sequence number: 1
Applications: Unknown
action-type: permit, tunnel:
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1852
1852
Descripción | 1852
Sintaxis
Descripción
Mostrar toda la información de usuario relevante. Esta característica es compatible con SRX300,
SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
vista
Campos de resultados
Tabla 115 en la página 1853enumera los campos de salida del show security dynamic-vpn users
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
1853
User Usuario.
Resultados de ejemplo
nombre de comando
Status: CONNECTED
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1854
Descripción | 1855
Sintaxis
Descripción
Mostrar toda la información de usuario relevante. Esta característica es compatible con SRX300,
SRX320, SRX340, SRX345 y dispositivos de SRX550HM.
vista
Campos de resultados
Tabla 116 en la página 1855enumera los campos de salida del show security dynamic-vpn users terse
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
User Usuario.
Resultados de ejemplo
nombre de comando
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1857
Descripción | 1857
Opciones | 1857
Sintaxis
Descripción
Mostrar asociaciones de seguridad ICR (SA) para miembros del grupo. Group VPNv2 es compatible con
SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos
SRX4600 e instancias de vSRX.
Opciones
• ninguna: muestra información de resumen de todas ICR DEA para los miembros del grupo.
1858
vista
Campos de resultados
Tabla 117 en la página 1858enumera los campos de salida del show security group-vpn member ike
security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Initiator cookie Número aleatorio, llamado cookie, que se envía al nodo remoto
cuando se activa la negociación del ICR.
1859
Responder cookie Número aleatorio generado por el nodo remoto y devuelto al iniciador
para comprobar que los paquetes se han recibido.
Remote Address Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local.
IKE Peer Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local.
1860
Exchange type Método de negociación acordado por los dos extremos de IPsec, o
interlocutores, que se utilizan para intercambiar información entre sí.
Cada tipo de intercambio determina el número de mensajes y los tipos
de carga que se incluyen en cada mensaje. Los modos, o tipos de
intercambio, son
Authentication method Método que utiliza el servidor para autenticar el origen de los
mensajes de ICR:
Algorithms Algoritmos de Intercambio de claves por red (ICR) utilizados para cifrar
y proteger los intercambios entre los interlocutores durante el proceso
de fase 2 de IPsec:
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1863
Descripción | 1863
Opciones | 1863
Sintaxis
Descripción
Mostrar las VPN de grupos inactivos. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
group-id group-id Adicional Muestra información sobre el identificador del grupo especificado.
vista
Campos de resultados
Tabla 118 en la página 1864enumera los campos de salida del show security group-vpn member ipsec
inactive-tunnels comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 118: Mostrar grupo de seguridad-IPSec miembro de VPN inactivo-campos de salida de túneles
Tabla 118: Mostrar grupo de seguridad-IPSec miembro de VPN inactivo-campos de salida de túneles
(Continued)
Tabla 118: Mostrar grupo de seguridad-IPSec miembro de VPN inactivo-campos de salida de túneles
(Continued)
• No se inició el túnel.
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1868
Descripción | 1868
Opciones | 1868
Sintaxis
Descripción
Muestra las asociaciones de seguridad de VPN de grupo para un miembro del grupo. Group VPNv2 es
compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y
dispositivos SRX4600 e instancias de vSRX.
Opciones
• ninguna: muestra información de todas lasAS VPN del grupo para el miembro del grupo.
1869
vista
Campos de resultados
Tabla 119 en la página 1869enumera los campos de salida del show security group-vpn member ipsec
security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Local Identity Identidad del elemento local del mismo nivel, de modo que su puerta
de enlace de destino asociada pueda comunicar con él. El valor se
especifica como una dirección IPv4, un nombre de dominio completo,
una dirección de correo electrónico o un nombre completo.
Remote Identity Dirección IPv4 de la puerta de enlace de destino del mismo nivel.
Anti-replay service Estado del servicio que impide que se reproduzcan paquetes. Puede
ser Enabled o Disabled.
Resultados de ejemplo
Resultados de ejemplo
Stats:
Pull Succeeded : 3
Pull Failed : 0
Pull Timeout : 6
Pull Aborted : 0
Push Succeeded : 1773
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(10): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1874
Descripción | 1875
Opciones | 1875
Sintaxis
Descripción
Mostrar estadísticas de IPsec. Group VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345,
SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
vista
Campos de resultados
Tabla 120 en la página 1875enumera los campos de salida del show security group-vpn member ipsec
statistics comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 120: Mostrar grupo de seguridad-estadísticas IPSec del miembro VPN campos de resultados
Tabla 120: Mostrar grupo de seguridad-estadísticas IPSec del miembro VPN campos de resultados
(Continued)
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1878
Descripción | 1878
Opciones | 1879
Sintaxis
Descripción
Grupo de presentación VPNv2 asociaciones de seguridad (SA) para un miembro del grupo. Group
VPNv2 es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100,
SRX4200 y dispositivos SRX4600 e instancias de vSRX.
1879
Group VPNv2 es el nombre de la tecnología VPN de grupo en enrutadores MX5, MX10, MX40, MX80,
MX240, MX480 y MX960. Group VPNv2 es diferente de la tecnología VPN de grupo implementada en
las puertas de enlace de seguridad SRX.
Para obtener más información sobre la VPN de grupo en los dispositivos de puerta de enlace de
seguridad SRX, consulte "Group VPNv2 Overview" en la página 762.
Opciones
• ninguna: muestra información de todas lasAS de VPNv2 del grupo para el miembro del grupo.
vista
Campos de resultados
Tabla 121 en la página 1880enumera los campos de salida del show security group-vpn member kek
security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
1880
Remote Address Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local.
Initiator cookie Número aleatorio, llamado cookie, que se envía al nodo remoto
cuando se activa la negociación del ICR.
Responder cookie Número aleatorio generado por el nodo remoto y devuelto al iniciador
para comprobar que los paquetes se han recibido.
KEK Peer Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local.
State Estado de las asociaciones de seguridad KEK, que siempre está activa.
Algorithms Algoritmos de Intercambio de claves por red (ICR) utilizados para cifrar
y proteger los intercambios entre los interlocutores durante el proceso
de fase 2 de IPsec:
Server Heartbeat Interval Intervalo de tiempo en segundos durante el que el servidor envía
latidos a los miembros del grupo.
Member Heartbeat Umbral de latido configurado en el miembro del grupo para la VPN de
Threshold IPsec. Si se pierde este número de latidos en el miembro, el miembro
se vuelve a registrar en el servidor.
Heartbeat Timeout Left Número de latidos hasta que se alcanza el umbral de latido, momento
en el que el miembro se vuelve a registrar con el servidor.
Server Activation Delay Número de segundos antes de que un miembro del grupo pueda usar
una clave nueva cuando el miembro vuelve a registrarse en el servidor.
Server Multicast Group Dirección IP de multidifusión a la que el servidor envía los mensajes de
regeneración de claves.
Group Key Push sequence Número de secuencia del mensaje KEK SA groupkey-Push. Este
number número se incrementa con cada mensaje de inserción de groupkey.
Resultados de ejemplo
Resultados de ejemplo
Algorithms:
Sig-hash : hmac-md5-96
Encryption : 3des-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
1884
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
user@host> show security group-vpn member kek security-associations detail | display xml
<rpc-reply xmlns:junos="http://xml.example.net/junos/15.1/junos">
<gvpn-kek-security-associations-information junos:style="detail">
<kek-security-associations-block>
<security-association-index>2987691</security-association-index>
<group-id>400</group-id>
<group-vpn-name>gvpn400</group-vpn-name>
<local-address>192.168.1.100</local-address>
<server-address>192.168.1.1</server-address>
<initiator-cookie>510f854307a03675</initiator-cookie>
<responder-cookie>690e5f121fba6de7</responder-cookie>
<lifetime-remaining>Expires in 23729 seconds</lifetime-remaining>
<push-sequence-number>364</push-sequence-number>
<ike-security-associations>
<ike-sa-algorithms>
<ike-sa-authentication-algorithm>hmac-sha1-96</ike-sa-
authentication-algorithm>
<ike-sa-sig-key-length>2048</ike-sa-sig-key-length>
<ike-sa-encryption-algorithm>aes128-cbc</ike-sa-encryption-
algorithm>
</ike-sa-algorithms>
<ike-sa-traffic-statistics>
<ike-sa-input-bytes>3012</ike-sa-input-bytes>
<ike-sa-output-bytes>252</ike-sa-output-bytes>
<ike-sa-input-packets>3</ike-sa-input-packets>
<ike-sa-output-packets>3</ike-sa-output-packets>
</ike-sa-traffic-statistics>
</ike-security-associations>
<gvpn-kek-security-association-statistics>
<kek-security-association-statistics> Push
received : 3</kek-security-association-statistics>
1885
<kek-security-association-statistics> Delete
received : 0</kek-security-association-statistics>
</gvpn-kek-security-association-statistics>
</kek-security-associations-block>
</gvpn-kek-security-associations-information>
<cli>
<banner></banner>
</cli>
</rpc-reply>
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1886
Descripción | 1886
Opciones | 1886
Sintaxis
Descripción
Mostrar las directivas VPN de grupo. Group VPNv2 es compatible con SRX300, SRX320, SRX340,
SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de vSRX.
Opciones
vpn-name Adicional Muestra información de directivas para el nombre del grupo especificado.
vista
Campos de resultados
Tabla 122 en la página 1887enumera los campos de salida del show security group-vpn member policy
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
1887
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1889
1889
Descripción | 1889
Opciones | 1889
Sintaxis
Descripción
Muestra ICR asociaciones de seguridad (SA). Group VPNv2 es compatible con SRX300, SRX320,
SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de
vSRX.
Opciones
• ninguna: muestra todas las ICR de seguridad para todos los grupos.
Un miembro del grupo puede utilizar una SA ICR para registrarse en varios grupos. Cuando se
especifican group las group-id opciones o para enumerar las SA de ICR para un grupo especificado,
se muestran todas las SA de ICR existentes que se podrían usar para registrarse en el grupo.
• index— (Opcional) Muestra información para una SA determinada según el número de índice de la
SA. Para obtener el número de índice de una SA en particular, utilice el comando sin opciones para
mostrar la lista de SA existentes.
vista
Campos de resultados
Tabla 123 en la página 1890enumera los campos de salida del show security group-vpn server ike
security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 123: Mostrar grupo de seguridad-servidor VPN-seguridad IKE campos de salida de asociaciones
Remote Address Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local.
Tabla 123: Mostrar grupo de seguridad-servidor VPN-seguridad IKE campos de salida de asociaciones
(Continued)
Initiator cookie Número aleatorio, llamado cookie, que se envía al nodo remoto
cuando se activa la negociación del ICR.
Responder cookie Número aleatorio generado por el nodo remoto y devuelto al iniciador
para comprobar que los paquetes se han recibido.
IKE Peer Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local.
1892
Tabla 123: Mostrar grupo de seguridad-servidor VPN-seguridad IKE campos de salida de asociaciones
(Continued)
Exchange type Método de negociación acordado por los dos extremos de IPsec, o
interlocutores, que se utilizan para intercambiar información entre sí.
Cada tipo de intercambio determina el número de mensajes y los tipos
de carga que se incluyen en cada mensaje. Los modos, o tipos de
intercambio, son
Authentication method Método que utiliza el servidor para autenticar el origen de los
mensajes de ICR:
Tabla 123: Mostrar grupo de seguridad-servidor VPN-seguridad IKE campos de salida de asociaciones
(Continued)
Algorithms Algoritmos de Intercambio de claves por red (ICR) utilizados para cifrar
y proteger los intercambios entre los interlocutores durante el proceso
de fase 2 de IPsec:
Tabla 123: Mostrar grupo de seguridad-servidor VPN-seguridad IKE campos de salida de asociaciones
(Continued)
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1897
Descripción | 1897
Opciones | 1897
Sintaxis
Descripción
Muestra las asociaciones de seguridad IPsec (SA). Group VPNv2 es compatible con SRX300, SRX320,
SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de
vSRX.
Opciones
vista
Campos de resultados
Tabla 124 en la página 1898enumera los campos de salida del show security group-vpn server ipsec
security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
1898
Total IPsec SAs Se muestra el número total de asociaciones de IPsec para cada grupo.
Resultados de ejemplo
Resultados de ejemplo
Source Port: 0
Destination Port: 0
Protocol: 0
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1901
Descripción | 1901
Opciones | 1901
Sintaxis
Descripción
Mostrar las comunicaciones configuradas por miembros del servidor. Group VPNv2 es compatible con
SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos
SRX4600 e instancias de vSRX.
Opciones
• none: muestra las comunicaciones de miembro del servidor configuradas para todos los grupos.
• group— (Opcional) Muestra las comunicaciones del miembro del servidor configuradas para el grupo
especificado.
• group-id— (Opcional) Muestra las comunicaciones del miembro del servidor configuradas para el
grupo especificado.
• index— (Opcional) Muestra información para una SA determinada según el número de índice de la
SA. Para obtener el número de índice de una SA en particular, utilice el comando sin opciones para
mostrar la lista de SA existentes.
vista
1902
Campos de resultados
Tabla 125 en la página 1902enumera los campos de salida del show security group-vpn server kek
security-assocations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Remote Address Identificador del remoto/interlocutor. Dado que puede haber varios
miembros, la dirección remota siempre contiene la dirección IP 0.0.0.0.
KEK Peer Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local. Para SAs KEK, siempre contiene 0.0.0.0,
que significa cualquier dirección IP.
1903
Algorithms Algoritmos de Intercambio de claves por red (ICR) utilizados para cifrar
y asegurar los intercambios entre los interlocutores durante el proceso
de la fase 2:
Group Key Push sequence Número de secuencia del mensaje KEK SA groupkey-Push. Este
number número se incrementa con cada mensaje de inserción de groupkey.
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1906
Descripción | 1906
Opciones | 1906
Sintaxis
Descripción
Mostrar los miembros del grupo registrados actualmente. Group VPNv2 es compatible con SRX300,
SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e
instancias de vSRX.
Opciones
• ninguna: muestra todos los miembros del grupo para todos los grupos.
1907
• group— (Opcional) Muestra los miembros del grupo para el grupo especificado.
• group-id— (Opcional) Muestra los miembros del grupo para el grupo especificado.
vista
Campos de resultados
Tabla 126 en la página 1907enumera los campos de salida del show security group-vpn server
registered-memberscomando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Tabla 126: muestra el grupo de seguridad: campos de salida del servidor VPN registrados con
miembros registrados
Last Update Última vez que los miembros registraron o enviaron confirmaciones al
servidor.
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1909
Descripción | 1909
Opciones | 1910
Sintaxis
show security group-vpn server server-cluster <brief> <detail> <group group-name> <group-id group-id>
<peer-gateway gateway-name>
Descripción
Mostrar información acerca de los servidores del clúster de servidores VPNv2 de grupo. Group VPNv2
es compatible con SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y
dispositivos SRX4600 e instancias de vSRX.
1910
Opciones
ninguno Muestra el grupo VPNv2 información de clústeres de servidor para todos los
grupos.
Group Group - Adicional Muestra el grupo VPNv2 información del clúster de servidor para el
Name nombre de grupo especificado.
group-id group-id Adicional Muestra el grupo VPNv2 información del clúster de servidor para el
identificador de grupo especificado.
peer-gateway Adicional Muestra el grupo VPNv2 información del clúster del servidor para el
gateway-name sistema del mismo nivel especificado.
vista
Campos de resultados
Tabla 127 en la página 1910enumera los campos de salida del show security group-vpn server server-
cluster comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 127: Mostrar grupo de seguridad-servidor de servidor VPN-campos de salida del clúster
Tabla 127: Mostrar grupo de seguridad-servidor de servidor VPN-campos de salida del clúster
(Continued)
Puerta de enlace Nombre del servidor del mismo nivel en el clúster de servidor VPNv2 de grupo.
del mismo nivel
IP del mismo nivel Dirección IP del servidor remoto homólogo del clúster del servidor VPNv2 del
grupo.
Función Función del servidor del mismo nivel en el clúster del servidor VPNv2 del grupo.
Estado Estado del servidor del mismo nivel en el clúster del servidor VPNv2 del grupo.
1912
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1914
Descripción | 1914
Opciones | 1915
Sintaxis
Descripción
Mostrar estadísticas del servidor VPNv2 del grupo. Group VPNv2 es compatible con SRX300, SRX320,
SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 y dispositivos SRX4600 e instancias de
vSRX.
1915
Opciones
ninguno Display Group VPNv2 estadísticas del servidor para todos los grupos.
Group Group -Name Adicional Display Group VPNv2 estadísticas del servidor para el nombre de grupo
especificado.
group-id group-id Adicional Display Group VPNv2 estadísticas del servidor para el identificador de
grupo especificado.
vista
Campos de resultados
Tabla 128 en la página 1915enumera los campos de salida del show security group-vpn server statistics
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 128: Mostrar grupo de seguridad-estadísticas del servidor VPN campos de resultados
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1917
Descripción | 1917
Opciones | 1917
Sintaxis
Descripción
Mostrar la lista de usuarios activos conectados con detalles sobre las direcciones del mismo nivel y los
puertos que están usando.
Opciones
Dirección del mismo Adicional Muestra detalles sobre el usuario con la dirección del mismo nivel
nivel especificada.
1918
nombre de usuario aaa Adicional Muestra información sobre el usuario con el nombre de usuario de
autenticación, autorización y cuentas (AAA) especificado.
dirección local Muestra información del usuario con la dirección IP de puerta de enlace local
especificada.
fpc slot-number pic Adicional Muestra información acerca de los usuarios de la ranura del
slot-number concentrador PIC flexible (FPC) especificada y la ranura PIC.
id ike-id ICR-ID Adicional Muestra información sobre el usuario con el ID. de ICR especificado.
pic slot-number fpc Adicional Muestra información acerca de los usuarios en la ranura de PIC
slot-number especificada y en la ranura FPC.
dirección par número Adicional Mostrar información acerca de los usuarios en el puerto especificado
de puerto de puerto para la dirección del mismo nivel especificada.
vista
Campos de resultados
Tabla 129 en la página 1919enumera los campos de salida del show security ike active-peer comando.
Los campos de salida se enumeran en el orden aproximado en el que aparecen.
AAA username Nombre de usuario del elemento del mismo nivel. Todos los
niveles
Tabla 129: Mostrar seguridad los campos de salida IKE activa-peer (Continued)
Active IKE SA indexes Número de índice de la SA asociada con el sistema del detail
mismo nivel. Este número es un número generado
internamente.
Resultados de ejemplo
A partir de Junos OS versión 20.4R1, cuando configure la función de alta disponibilidad (AD), puede
utilizar este comando mostrar para ver solo los detalles del túnel del vínculo de interchassis. El siguiente
comando muestra solo los pares activos del vínculo de interchasis y no los pares activos regulares.
Información de versión
Comando introducido en Junos OS versión 10,4. Compatibilidad para mostrar estadísticas de detección
de sistemas no respondes (DPD) agregadas en Junos OS versión 12.3 X48-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1924
Descripción | 1924
Sintaxis
Descripción
Muestra el estado de depuración de la traza Intercambio de claves por red habilitada actualmente (ICR).
vista
1925
Campos de resultados
Tabla 130 en la página 1925enumera los campos de salida del show security ike debug-status comando.
Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1926
Descripción | 1926
Opciones | 1927
Sintaxis
Descripción
Mostrar la clave previamente compartida de Intercambio de claves por red (ICR) utilizada por la puerta
de enlace de la red privada virtual (VPN) para autenticar al usuario de acceso remoto.
1927
Opciones
vista
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1928
Descripción | 1928
Opciones | 1929
Sintaxis
Descripción
Mostrar información acerca de Intercambio de claves por red asociaciones de seguridad (ICR SA).
1929
Opciones
• ninguna: muestra información estándar acerca de las ICR existentes, incluidos los números de índice.
• brief— (Opcional) Muestra información estándar de todas las ICR existentes. Predeterminada
• family—(Opcional) Muestra ICR SA por familia. Esta opción se utiliza para filtrar los resultados.
• fpc slot-number— (Opcional) Muestra información acerca de las ICR existentes en esta ranura del
concentrador de PIC flexible (FPC). Esta opción se utiliza para filtrar los resultados.
En un clúster de chasis, cuando ejecuta el comando show security ike security-associations pic
<slot-number> fpc <slot-number> de CLI en modo operativo solo se muestra la información del
nodo principal de las SA de IPSec existentes en la ranura del concentrador de PIC flexible (FPC)
especificada y la ranura de PIC.
• index SA-index-number— (Opcional) Muestra información para una SA determinada según el número
de índice de la SA. Para una SA en particular, muestre la lista de las SA existentes utilizando el
comando sin opciones. Esta opción y peer-address proporcione el mismo nivel de salida.
• all: todas las instancias de KMD que se ejecutan en la unidad de procesamiento de servicios
(SPU).
• pic slot-number — (Opcional) Muestra información acerca de las ICR existentes en esta ranura PIC.
Esta opción se utiliza para filtrar los resultados.
• sa-type— (Opcional para ADVPN) Tipo de SA. shortcut es la única opción para esta versión.
vista
Campos de resultados
Tabla 131 en la página 1930enumera los campos de salida del show security ike security-associations
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
IKE Peer or Remote Address Dirección IP del equipo del mismo nivel de destino con la que se
comunica el interlocutor local.
Initiator cookie Número aleatorio, llamado cookie, que se envía al nodo remoto
cuando se activa la negociación del ICR.
Responder cookie Número aleatorio generado por el nodo remoto y devuelto al iniciador
para comprobar que los paquetes se han recibido.
Exchange type Método de negociación acordado por los dos extremos IPsec, o
interlocutores, que se utilizan para intercambiar información entre sí.
Cada modo o tipo de intercambio determina el número de mensajes y
los tipos de carga que se incluyen en cada mensaje. Los modos son:
Authentication method Método utilizado para autenticar el origen de mensajes de ICR, que
pueden ser Pre-shared-keys o certificados digitales, DSA-
signaturescomo, ECDSA-signatures-256ECDSA-signatures-384o.
RSA-signatures
1932
Reauth Lifetime Cuando está habilitada esta opción, quedan #a0 segundos hasta que la
nueva autenticación activa una negociación de Asociación de la SA a
IKEv2.
IPsec Tunnel IDs Indica la lista de los IPsec secundarios de los IPsec de tunelización
1937
Resultados de ejemplo
Encryption : aes-128-gcm
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-5
Traffic statistics:
Input bytes : 1012
Output bytes : 1196
Input packets: 4
Output packets: 5
Flags: IKE SA is created
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 0
nombre de comando
El "tema mostrar estadísticas de ike de" en la página 1947 seguridad enumera los campos de salida del
show security ike security-associations detail comando.
-
IKE peer 192.168.1.2, Index 222075191, Gateway Name: ZTH_HUB_GW
Location: FPC 0, PIC 3, KMD-Instance 2
Auto Discovery VPN:
Type: Static, Local Capability: Suggester, Peer Capability: Partner
Suggester Shortcut Suggestions Statistics:
Suggestions sent : 2
Suggestions accepted: 4
Suggestions declined: 1
Role: Responder, State: UP
Initiator cookie: 7b996b4c310d2424, Responder cookie: 5724c5882a212157
Exchange type: IKEv2, Authentication method: RSA-signatures
Local: 192.168.1.1:500, Remote: 192.168.1.2:500
Lifetime: Expires in 828 seconds
Peer ike-id: C=US, DC=example, ST=CA, L=Sunnyvale, O=example, OU=engineering,
CN=cssvk36-d
Xauth user-name: not available
Xauth assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : aes256-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-5
Traffic statistics:
Input bytes : 20474
Output bytes : 21091
Input packets: 237
Output packets: 237
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
A partir de Junos OS versión 20.4R1, cuando configure la función de alta disponibilidad (AD), puede
utilizar este comando mostrar para ver solo los detalles del túnel del vínculo de interchassis. El siguiente
comando muestra solo lasAS de cifrado de vínculos en ambos nodos.
Información de versión
Comando introducido en Junos OS versión 8,5. Compatibilidad con las fpcopciones pic, y kmd-instance ,
que se agregan en Junos os versión 9,3. Soporte para la family opción agregada en Junos OS versión
11,1. Compatibilidad con la VPN de detección automática agregada en Junos OS versión 12.3 X48-D10.
La compatibilidad con la reautenticación IKEv2 se agrega en Junos OS Release 15.1 X49-D60.
Compatibilidad con la fragmentación de IKEv2 agregada en Junos OS versión 15.1 X49-D80.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1947
Descripción | 1948
Opciones | 1948
Sintaxis
Descripción
Muestra información sobre las estadísticas globales de ICR (Intercambio de claves por red) para los
túneles tales como negociaciones en curso, establecidas y vencidas que utilicen IKEv2 en sus
dispositivos de la serie SRX5000 con tarjeta SRX5K-SPC3.
Opciones
• Predeterminada brief
Muestra estadísticas de recuento de túneles y contadores distintos de cero de las estadísticas ICR
globales.
detail
vista
Campos de resultados
Tabla 132 en la página 1948enumera los campos de salida de total ICR SA y estadísticas de recuento de
túneles. Tabla 133 en la página 1950 enumera los campos de salida IKE_SA_INITde IKE_AUTH, IKE SA
Rekey CREATE_CHILD_SA, IPsec SA Rekey CREATE_CHILD_SA , las estadísticas de Exchange. Tabla
134 en la página 1956 enumera ICR total de estadísticas de errores de show security ike stats mensajes
del comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Nombre del Descripción de campo para los campos Descripción de campo para los campos
campo de salida de las estadísticas del iniciador de salida de las estadísticas del
respondedor
• Res Invalid IKE SPI— Número de • Res DH Gen Key Fail: se ha fallado el
mensaje IKE_SA_INIT de respuesta procesamiento de mensajes de
que contiene SPI no válido recibido respuesta durante la generación de
por el iniciador. claves IKE_SA_INIT en el
respondedor Diffie-Hellman.
1951
Nombre del Descripción de campo para los campos Descripción de campo para los campos
campo de salida de las estadísticas del iniciador de salida de las estadísticas del
respondedor
Nombre del Descripción de campo para los campos Descripción de campo para los campos
campo de salida de las estadísticas del iniciador de salida de las estadísticas del
respondedor
Nombre del Descripción de campo para los campos Descripción de campo para los campos
campo de salida de las estadísticas del iniciador de salida de las estadísticas del
respondedor
IKE SA Rekey • Request Out: número de ICR • Request In: número de ICR mensaje
CREATE_CHIL mensaje de solicitud de de solicitud de reclaclación de SA
D_SA exchange CREATE_CHILD_SA reclave sa CREATE_CHILD_SA recibido por el
stats enviado por el iniciador. respondedor.
Nombre del Descripción de campo para los campos Descripción de campo para los campos
campo de salida de las estadísticas del iniciador de salida de las estadísticas del
respondedor
Nombre del Descripción de campo para los campos Descripción de campo para los campos
campo de salida de las estadísticas del iniciador de salida de las estadísticas del
respondedor
IPsec SA Rekey • Request Out: número de mensaje de • Request In: número de mensaje de
CREATE_CHIL solicitud de reclaclación de SA solicitud de reclaclación de SA
D_SA exchange CREATE_CHILD_SA IPsec enviado CREATE_CHILD_SA IPsec recibido
stats por el iniciador. por el respondedor.
Nombre del Descripción de campo para los campos Descripción de campo para los campos
campo de salida de las estadísticas del iniciador de salida de las estadísticas del
respondedor
Invalid exchange type Número total de mensajes con un error de tipo de intercambio no
válido.
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1960
Descripción | 1960
Opciones | 1960
Sintaxis
Descripción
Mostrar la asignación de túnel en diferentes unidades de procesamiento de servicios (SPUs) para VPN de
sitio a sitio y manuales. Puede insertar un SPC en un dispositivo en un clúster de chasis sin interrumpir
el tráfico en los túneles VPN existentes. Después de insertar el SPC, puede ver la asignación de túnel
mediante este comando. Esta característica solo es compatible con SRX5400, SRX5600 y dispositivos de
SRX5800 e instancias de vSRX.
Opciones
resumida Muestra información estándar acerca de todas las SA de ICR existentes. Este es el valor
predeterminado.
1961
número de Muestra información sobre las SA de ICR existentes en la ranura de concentrador PIC
ranura fpc flexible (FPC) especificada.
pic slot- Muestra información sobre las SA de ICR existentes en la ranura PIC especificada.
number
resumida Muestre la carga de asignación de túnel de cada la SPU. La carga es el número de veces
que se ha elegido una SPU como una SPU de delimitación. En el caso de las VPN de
sitio a sitio, la carga debe ser igual al número de puertas de enlace asignadas a la SPU.
vista
Campos de resultados
Tabla 135 en la página 1961enumera los campos de salida del show security ike tunnel-map comando.
Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Carga de la SPU Número de veces que se ha elegido una SPU como una SPU de
delimitación.
Resultados de ejemplo
5 LAN_3 1 0 2
6 LAN_4 1 0 1
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1964
Descripción | 1965
Opciones | 1965
Sintaxis
Descripción
Muestra información acerca de las asociaciones de seguridad IPsec (SA) manuales aplicadas a OSPF o
interfaces OSPFv3 o vínculos virtuales.
Opciones
vista
Campos de resultados
Tabla 136 en la página 1965enumera los campos de salida del show security ipsec control-plane-
security-associations comando. Los campos de salida se enumeran en el orden aproximado en el que
aparecen.
Total active security- Número total de SA manuales activas para la aplicación en OSPF o
associations interfaces OSPFv3 o vínculos virtuales.
Resultados de ejemplo
ID: 1,
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1968
1968
Descripción | 1968
Opciones | 1968
Sintaxis
Descripción
Opciones
• family— (Opcional) Muestra el túnel inactivo por familia. Esta opción se utiliza para filtrar los
resultados.
• fpc slot-number— (Opcional) Muestra información sobre túneles inactivos en la ranura del
concentrador de PIC flexible (FPC).
• all: todas las instancias de KMD que se ejecutan en la unidad de procesamiento de servicios
(SPU).
• sa-type— (Opcional para ADVPN) Tipo de SA. shortcut es la única opción para esta versión.
vista
Campos de resultados
Tabla 137 en la página 1970enumera los campos de salida del show security ipsec inactive-tunnels
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
1970
Total inactive tunnels which Número total de túneles IPsec inactivos que pueden establecer una
establish immediately sesión inmediatamente.
Local identity Identidad del elemento local del mismo nivel, de modo que su puerta
de enlace de destino asociada pueda comunicar con él. El valor se
especifica como una dirección IP, un nombre de dominio completo,
una dirección de correo electrónico o un nombre completo (DN).
Tabla 137: Mostrar seguridad IPSec inactivo-túneles de los campos de salida (Continued)
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1973
Descripción | 1973
Opciones | 1974
Sintaxis
Descripción
Opciones
serie Muestra las entradas IPSec del túnel de salto siguiente por familia.
• Varían
• 1 a 4294967295
vista
Campos de resultados
Tabla 138 en la página 1974enumera los campos de salida del show security ipsec next-hop-tunnels
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 1976
Descripción | 1977
Opciones | 1977
muestra detalles de las asociaciones de seguridad ipsec (dispositivos serie SRX y enrutadores serie
MX) | 2009
Sintaxis
Descripción
En Junos OS versiones 20.1R2, 20.2R2, 20.3R2, 20.3R1 y posterior, cuando se ejecuta el comando, se
muestra un nuevo campo de salida correspondiente a cada SA IPsec dentro de un túnel en cada
información de show security ipsec security-associations detailIKE SA Index SA IPsec. Consulte
"muestra detalles de asociaciones de seguridad ipsec (SRX5400, SRX5600, SRX5800)" en la página
2005la.
Opciones
brief | detail Adicional Muestra el nivel de salida especificado. El valor predeterminado briefes.
family Adicional Mostrar SAs por familia. Esta opción se utiliza para filtrar los resultados.
fpc slot- Adicional Muestre información sobre las SA IPsec existentes en la ranura del
numberpic slot- concentrador de PIC flexible (FPC) especificada y la ranura de PIC.
number
En un clúster de chasis, cuando ejecuta el comando show security ipsec security-
associations pic <slot-number> fpc <slot-number> de CLI en modo operativo solo
se muestra la información del nodo principal de las SA de IPSec existentes en la
ranura del concentrador de PIC flexible (FPC) especificada y la ranura de PIC.
pic slot- Adicional Muestra información acerca de las SA de IPsec existentes en la ranura PIC
numberfpc slot- especificada y la ranura FPC.
number
sa-type (Opcional para ADVPN) Muestra información del tipo especificado de SA. shortcut
es la única opción para esta versión.
vista
Campos de resultados
Tabla 139 en la página 1978enumera los campos de salida del show security ipsec security-associations
comando, Tabla 140 en la página 1987 enumera los campos de salida del show security ipsec sa
comando y Tabla 141 en la página 1988. enumera los campos de salida del show security ipsec sa detail.
Los campos de salida se enumeran en el orden aproximado en el que aparecen.
KMD-Instance: el nombre de la
instancia de KMD que se ejecuta en la
SPU, identificado por un número de
ranura FPC y un número de ranura PIC.
Actualmente, hay 4 instancias de KMD
que se ejecutan en cada la SPU y
cualquier negociación IPsec en
particular se lleva a cabo mediante una
sola instancia KMD.
1983
Local Identity Identidad del elemento local del mismo nivel, de modo que su puerta
de enlace de destino asociada pueda comunicar con él. El valor se
especifica como una dirección IP, un nombre de dominio completo,
una dirección de correo electrónico o un nombre completo (DN).
Tabla 141: Mostrar los campos de resultados de detalle de SA IPsec de seguridad (Continued)
Eventos de túnel
Tabla 141: Mostrar los campos de resultados de detalle de SA IPsec de seguridad (Continued)
Anti-replay service Estado del servicio que impide que se reproduzcan paquetes. Puede
ser Enabled o Disabled.
1991
Tabla 141: Mostrar los campos de resultados de detalle de SA IPsec de seguridad (Continued)
Replay window size Tamaño configurado de la ventana de servicio antireplay. Puede ser
32 o 64 paquetes. Si el tamaño de la ventana de reproducción es 0, el
servicio antireplay está deshabilitado.
Resultados de ejemplo
Para mayor brevedad, el comando mostrar resultados no muestra todos los valores de la configuración.
Solo se muestra un subconjunto de la configuración. El resto de la configuración del sistema ha sido
sustituida por puntos suspensivos (...).
A partir de Junos OS versión 18.2 R1, el show security ipsec security-associations index index-number
detail resultado de la CLI muestra todos los detalles de SA secundarios, incluido el nombre de clase de
reenvío.
A partir de Junos OS versión 19.1R1, un campo nuevo en la salida del CLI muestra la opción tunnel-
establishmentshow security ipsec sa detail configurada en ipsec vpn establish-tunnels jerarquía.
Un nuevo campo de salida correspondiente a cada SA IPsec dentro de un túnel se muestra en cada
información de IKE SA Index SA IPsec.
A partir de Junos OS versión 20.4R1, cuando configure la función de alta disponibilidad (AD), puede
utilizar este comando mostrar para ver solo los detalles del túnel del vínculo de interchassis.
A partir de Junos OS versión 20.4R1, cuando configure la función de alta disponibilidad (AD), puede
utilizar este comando mostrar para ver solo los detalles del túnel del vínculo de interchassis. Muestra las
multiAS creadas para el túnel de cifrado de vínculos de interchasis.
...
En Junos OS versión 20.4R2, 21.1R1 y posteriores, puede ejecutar el comando para ver el tipo de
selector de tráfico de una show security ipsec security-associations detail VPN.
A partir de Junos OS versión 21.1R1, puede ver los detalles del selector de tráfico, que incluye,
identidad local, identidad remota, protocolo, rango de puerto de origen, intervalo de puerto de destino
para varios términos definidos para una SA IPsec.
En las versiones anteriores de Junos, la selección de tráfico para una SA determinada se realiza mediante
el intervalo de IP existente definido mediante dirección IP o máscara de red. A partir Junos OS versión
21.1R1 hacia adelante, además se selecciona tráfico a través del protocolo especificado mediante
protocol_name. Además, se especificó el rango de puertos bajo y alto para los números de puertos de
origen y destino.
Local Identity:
Protocol Port IP
17/UDP 100-200 198.51.101.0-198.51.101.255
6/TCP 250-300 198.51.102.0-198.51.102.255
Remote Identity:
Protocol Port IP
17/UDP 150-200 80.0.0.1-80.0.0.1
6/TCP 250-300 80.0.1.1-80.0.1.1
Version: IKEv2
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0, Policy-name: pkn-
r0-r1-ipsec-policy
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
2012
Información de versión
Comando introducido en Junos OS versión 8,5. Compatibilidad con la family opción agregada en Junos
OS versión 11.1.
Compatibilidad con la vpn-name opción agregada en la Junos OS versión 11.4R3. Compatibilidad con los
traffic-selector campos de opción y selector de tráfico agregados en Junos os versión 12.1 X46-D10.
Compatibilidad con la VPN de detección automática (ADVPN) agregada en Junos OS versión 12.3 X48-
D10.
Compatibilidad con la comprobación de la ruta de acceso de IPsec agregada en Junos OS Release 15.1
X49-D70.
A partir del Junos OS de la versión show security ipsec security-assocations detail 18.2 R2, la salida del
comando incluirá información de anclaje de los subprocesos para las asociaciones de seguridad (SA).
A partir de Junos OS versión 19.4R1, hemos desaprobado la opción CLI (nombre de clase cos forward)
en el nuevo proceso que muestra las asociaciones de seguridad (AS) en el comando fc-nameikedshow
security ipsec sa mostrar.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2013
Descripción | 2013
Opciones | 2013
Sintaxis
Descripción
Opciones
• fpc slot-number — Específico para dispositivos de la serie SRX. Mostrar estadísticas sobre las SA
IPsec existentes en esta ranura de concentrador de PIC flexible (FPC). Esta opción se utiliza para
filtrar los resultados.
• pic slot-number — Específico para dispositivos de la serie SRX. Mostrar estadísticas sobre las
asociaciones de IPsec existentes en esta ranura de PIC. Esta opción se utiliza para filtrar los
resultados.
vista
Campos de resultados
Tabla 142 en la página 2014enumera los campos de salida del show security ipsec statistics comando.
Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 142: Mostrar los campos de resultados de estadísticas de IPSec de seguridad (Continued)
ESP Statistics • Encrypted bytes: número total de bytes cifrados por el sistema
local a través del túnel IPsec.
AH Statistics • Input bytes: número total de bytes recibidos por el sistema local a
través del túnel IPsec.
Tabla 142: Mostrar los campos de resultados de estadísticas de IPSec de seguridad (Continued)
Resultados de ejemplo
Decrypted bytes: 0
Encrypted packets: 0
Decrypted packets: 0
AH Statistics:
Input bytes: 0
Output bytes: 0
Input packets: 0
Output packets: 0
Errors:
AH authentication failures: 0, Replay errors: 0
ESP authentication failures: 0, ESP decryption failures: 0
Bad headers: 0, Bad trailers: 0
Invalid SPI: 0, TS check fail: 0
Discarded: 0
Resultados de ejemplo
588
custom_q1 0 0 0
0
custom_q2 0 0 0
0
network-control 0 0 0
0
custom_q4 0 0 0
0
custom_q5 0 0 0
0
custom_q6 0 0 0
0
custom_q7 0 0 0
0
default 0 0 0
0
A partir de Junos OS versión 18.2 R1, la show security ipsec statistics index 131073 index-number
salida de la CLI muestra las estadísticas de cada nombre de clase de reenvío.
Resultados de ejemplo
A partir de Junos OS versión 20.4R1, cuando configure la función de alta disponibilidad (AD), puede
utilizar este comando mostrar para ver solo los detalles del túnel del vínculo de interchassis. El siguiente
comando solo muestra estadísticas de túnel de cifrado de vínculos en ambos nodos.
Información de versión
Comando introducido en Junos OS versión 8.5. fpc y pic opciones agregadas en Junos OS versión 9.3.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2020
Descripción | 2020
Opciones | 2021
Sintaxis
Descripción
Muestra información acerca de los selectores de tráfico que se han negociado entre el interlocutor inicial
y el contestador.
2021
Opciones
fpc slot-number pic Adicional Muestra información acerca de los selectores de tráfico existentes en la
slot-number ranura del concentrador de PIC flexible (FPC) especificada y en la ranura de PIC.
pic slot-number fpc Adicional Muestra información acerca de los selectores de tráfico existentes en la
slot-number ranura PIC especificada y en la ranura FPC.
vista
Campos de resultados
Tabla 143 en la página 2022enumera los campos de salida del show security ipsec traffic-selector
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
2022
Tabla 143: Mostrar campos de salida del selector de tráfico de seguridad IPSec
Interfaz Interfaz de túnel seguro (st0) para el selector de tráfico. Todos los niveles
ID DEL ICR ID. del ICR del mismo nivel para el selector de tráfico negociado. Todos los niveles
IP de origen Dirección IP de origen para el selector de tráfico negociado. Todos los niveles
IP de destino Dirección IP de destino para el selector de tráfico negociado. Todos los niveles
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2023
Descripción | 2023
Opciones | 2024
Sintaxis
Descripción
Muestra el número de túneles VPN de IPsec delimitados en cada subproceso. A una sesión de túnel
IPsec se le asigna un subproceso del delimitador, basado en la carga durante la instalación de la sesión
de túnel. Cuando se crea una nueva sesión de túnel, se elige el subproceso menos cargado para anclar el
nuevo túnel. Cuando se elimina el túnel, la asignación de anclaje se quita del plano de control.
El perfil de distribución muestra todos los perfiles de distribución IPSec asignados sin perfiles de
distribución asignados a un objeto VPN. Esta solapa se default_profiilemuestra, de lo contrario, se
muestra el perfil asociado.
Opciones
brief Adicional Muestra información de subprocesos acerca de todos los túneles activos.
Predeterminada
summary- (Opcional) Muestra la carga en cada FPC y PIC. Puede usar esta opción para
cpuload comprobar la carga en cada FPC y PIC antes o después de redistribuir el túnel.
Consulte "muestra el resumen de la distribución de túneles ipsec de seguridad y la
carga de cpuload" en la página 2028la.
vista
Campos de resultados
Tabla 144 en la página 2025enumera los campos de salida del show security ipsec tunnel-distribution
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
2025
CPU:1h Promedio de carga de CPU durante las últimas 1 hora para summary-cpuload
FPC o PIC.
CPU:1d Promedio de carga de CPU para el último día 1 para FPC o summary-cpuload
PIC.
Resultados de ejemplo
500003 0 1 2
500011 0 1 7
500007 0 0 17
1 0 1 2
1 0 1 3
1 0 1 4
1 0 1 5
1 0 1 6
1 0 1 7
1 0 1 8
0 0 1 9
0 0 1 10
0 0 1 11
0 0 1 12
0 0 1 13
0 0 1 15
0 0 1 16
0 0 1 17
0 0 1 18
0 0 1 19
0 0 1 20
0 0 1 21
0 0 1 22
0 0 1 23
0 0 1 24
0 0 1 25
0 0 1 26
0 0 1 27
Este comando muestra el mismo resultado que , pero incluye promedios de carga (último minuto, 1 hora
y 1 día) de todos los subprocesos para cada FPC y show security ipsec tunnel-distribution summary PIC.
node0:
---------------------------------------------------------------------------------
--------------------------
Number of Tunnels FPC PIC Thread-ID CPU:1m CPU:1h CPU:1d
---------------------------------------------------------------------------------
--------------------------
2029
1 0 0 15 0 0 0
1 0 0 16 0 0 0
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2029
Descripción | 2030
Sintaxis
Descripción
vista
Resultados de ejemplo
Información de versión
type group-ike-id o ike-user-type shared-ike-id está configurada para la puerta de enlace de ICR; la aaa
access-profile profile-name configuración no es compatible con esta opción.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2031
Descripción | 2032
Opciones | 2032
Sintaxis
Descripción
Muestra información acerca de los certificados digitales de la infraestructura de claves públicas (PKI) de
la entidad emisora de certificados configurados en el dispositivo.
La imagen de FIPS no permite el uso de rastros digitales MD5. Por lo tanto, las huellas dactilares MD5
no se incluyen cuando se muestra un certificado con este comando. La huella digital SHA-1 que se
muestra actualmente se conserva en la imagen FIPS. El protocolo de inscripción de certificados simple
(SCEP) está deshabilitado en la imagen FIPS.
Opciones
vista
Campos de resultados
Tabla 145 en la página 2032enumera los campos de salida del show security pki ca-certificate comando.
Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Subject Detalles del titular del certificado digital organizado con el formato de
nombre completo. Los subcampos posibles son:
Signature algorithm Algoritmo de cifrado que usó la entidad emisora para firmar el
certificado sha1WithRSAEncryptiondigital, como.
Certificate Policy Policy Identifier: uno o más identificadores de objeto de política (IDs).
Use for key Uso de la clave pública, Certificate signingcomo, CRL signingDigital
signature, o. Data encipherment
Resultados de ejemplo
Resultados de ejemplo
Resultados de ejemplo
Información de versión
Comando modificado en Junos OS versión 8,5. Campo de salida de cadena de asunto agregado en Junos
OS versión 12.1 X44-D10. Campo de salida del identificador de directiva agregado en Junos OS versión
12.3 X48-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2038
Descripción | 2038
Opciones | 2038
Sintaxis
Descripción
Mostrar información acerca de las solicitudes de certificados digitales locales generados manualmente
que se almacenan en el dispositivo.
Opciones
• none: muestra información básica de todas las solicitudes de certificados digitales locales.
vista
Campos de resultados
Tabla 146 en la página 2039enumera los campos de salida del show security pki certificate-request
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
2039
Subject Detalles del titular del certificado digital organizado con el formato de
nombre completo. Los subcampos posibles son:
Public key verification Estado de comprobación de clave pública: Failedo Passed. El detail
status resultado también proporciona el hash de verificación.
Use for key Uso de la clave pública, Certificate signingcomo, CRL signingDigital
signature, o. Data encipherment
2040
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2041
Descripción | 2042
Opciones | 2042
Sintaxis
Descripción
Opciones
vista
Campos de resultados
Tabla 147 en la página 2042enumera los campos de salida del show security pki crl comando. Los
campos de salida se enumeran en el orden aproximado en el que aparecen.
CRL issuer Autoridad que emitió el certificado digital, incluidos los detalles de la
autoridad organizada con el formato de nombre completo. Los
subcampos posibles son:
• C: país de origen.
• L— Localidad de origen.
• O— Organización de origen.
Revocation List Lista de certificados digitales que se han revocado antes de su fecha
de caducidad. Los valores son:
Resultados de ejemplo
Resultados de ejemplo
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2046
Descripción | 2046
Opciones | 2046
2046
Sintaxis
Descripción
Muestra información acerca de los certificados digitales locales, las claves públicas correspondientes y el
certificado autofirmado generado automáticamente que se configura en el dispositivo.
Opciones
• ninguna: muestra información básica de todos los certificados digitales locales configurados, las
claves públicas correspondientes y el certificado auto firmado automáticamente.
vista
Campos de resultados
Tabla 148 en la página 2047enumera los campos de salida del show security pki local-certificate
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 148: Mostrar seguridad PKI local: campos de salida del certificado
Serial number Número de serie único del certificado digital. A partir de Junos OS
versión 20.1R1, el número de serie de certificado local de PKI se
muestra con como prefijo para indicar que el certificado local de PKI
está en 0x el formato hexadecimal.
Tabla 148: Mostrar seguridad PKI local: campos de salida del certificado (Continued)
Subject Detalles del titular del certificado digital organizado con el formato de
nombre completo. Los subcampos posibles son:
Tabla 148: Mostrar seguridad PKI local: campos de salida del certificado (Continued)
Public key verification Estado de comprobación de clave pública: Failedo Passed. El detail
status resultado también proporciona el hash de verificación.
Signature algorithm Algoritmo de cifrado que usó la entidad emisora para firmar el
certificado sha1WithRSAEncryptiondigital, como.
Distribution CRL Información de nombre completo y dirección URL del servidor de lista
deCRLrevocación de certificados ().
Use for key Uso de la clave pública, Certificate signingcomo, CRL signingDigital
signature, o. Data encipherment
2050
Resultados de ejemplo
Resultados de ejemplo
97:da:b4:40:ad:1a:77:3e:ec:2e:68:8e:e4:93:a3:fe:7c:0b:58:af
e1:20:27:82:ca:8d:6f:f0:97:d1:ad:fe:df:6c:cb:3c:b0:4f:cc:dd
ac:d8:69:3f:3c:59:b5:2a:c6:83:e8:b3:94:5e:0a:2d:cd:e2:b0:15
3e:97:a7:8a:4e:fb:59:f7:20:4c:ba:a8:80:3e:ba:be:69:ef:2b:32
e4:1a:1c:24:53:1b:d5:c3:aa:d4:25:73:96:76:ea:49:d4:da:7e:3e
0c:c6:6b:22:43:cb:04:84:0d:25:33:07:6b:49:41:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Distribution CRL:
ldap:///Example-CA,CN=cn-win,CN=CDP,CN=Public%20Key
%20Services,CN=Services,CN=Configuration,DC=demo,DC=local?
certificateRevocationList?base?
objectClass=cRLDistributionPoint
http://example.example.net/CertEnroll/Example-CA.crl
Use for key: Key encipherment, Digital signature, 1.3.6.1.5.5.8.2.2,
1.3.6.1.5.5.8.2.2
Fingerprint:
76:a8:5f:65:b4:bf:bd:10:d8:56:82:65:ff:0d:04:3a:a5:e9:41:dd (sha1)
8f:99:a4:15:98:10:4b:b6:1a:3d:81:13:93:2a:ac:e7 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
Resultados de ejemplo
Resultados de ejemplo
Resultados de ejemplo
Resultados de ejemplo
7d:3d:0b:0c:f0:1f:1d:7d:c3:aa:d4:4c:a0:cd:23:8b:3f:47:05:ee
7b:65:42:a0:dc:c4:ac:a7:b6:a6:9f:5c:ea:d8:22:b0:bf:03:75:09
be:fa:77:cb:d6:67:19:e6:80:fa:a5:7c:93:af:96:66:9f:cc:45:d5
eb:ab:c1:f0:32:a6:d9:27:1b:80:bb:57:ec:31:a2:e0:2b:e1:42:c0
92:8a:9b:ed:a6:d2:ec:7c:84:5a:8a:d9:96:a7:7e:40:c3:80:0e:f4
d6:a2:5d:78:93:3b:7d:d5:8a:f5:de:fb:bc:0d:6d:02:03:01:00:01
Signature algorithm: sha1WithRSAEncryption
Distribution CRL:
ldap:///Example-CA,CN=cn-win,CN=CDP,CN=Public%20Key%20Services,
CN=Services,CN=Configuration,DC=demo,DC=local?certificateRevocationList?
base?objectClass=cRLDistributionPoint
http://example.example.net/CertEnroll/Example-CA.crl
Use for key: Key encipherment, Digital signature, 1.3.6.1.5.5.8.2.2,
1.3.6.1.5.5.8.2.2
Fingerprint:
1f:2f:a9:22:a8:d5:a9:36:cc:c4:bd:81:59:9d:9c:58:bb:40:15:72 (sha1)
51:27:e4:d5:29:90:f7:85:9e:67:84:a1:75:d1:5b:16 (md5)
Auto-re-enrollment:
Status: Disabled
Next trigger time: Timer not started
Resultados de ejemplo
30:82:01:0a:02:82:01:01:00:ed:6b:34:79:99:fd:b7:a3:39:6c:37
2a:45:08:c9:5c:46:bc:a3:5d:92:db:b7:fa:1e:42:88:64:0b:57:8e
7e:4a:80:d5:49:12:0c:46:23:f3:8c:7d:b6:db:05:9a:de:fd:00:82
46:49:e6:47:f5:3e:c5:0e:72:aa:af:35:38:11:e7:bb:31:a7:36:59
7d:8a:53:c9:73:6a:4b:50:f5:05:c7:0f:60:94:07:0a:04:a9:e4:37
b6:4e:6a:b2:a7:36:bf:bf:b0:7b:8f:32:85:3d:34:b0:e0:e4:29:86
4f:6e:23:b0:eb:d3:02:93:fc:84:bb:26:41:b3:9a:71:2c:07:78:23
ab:49:ed:8d:6a:7b:8d:4b:c5:23:d8:05:b5:77:f0:27:22:34:60:b0
c1:4b:bd:b6:ef:fd:27:8c:28:31:f3:20:8b:48:5a:33:63:32:d0:04
89:56:c3:16:84:2c:06:7b:5c:64:76:b0:19:47:2f:5c:bf:e3:48:37
aa:83:1c:eb:16:27:26:76:7d:ad:2c:d7:b1:b7:c2:40:c7:ef:72:93
cd:a3:b1:d7:bd:c5:c1:d9:6e:d7:2c:22:51:55:ca:5d:f8:9e:0f:93
3d:85:4a:77:3c:a3:8e:87:40:3f:35:6b:d3:d7:bf:2c:4e:bb:b1:02
5d:ae:55:c2:bd:02:03:01:00:01
Signature algorithm: sha256WithRSAEncryption
Use for key: CRL signing, Certificate signing, Digital signature
Fingerprint:
73:d9:ba:b6:83:2e:99:6b:f8:a3:b6:3b:ec:84:4f:5d:9a:04:8c:9b (sha1)
6f:7d:db:5a:f1:ec:95:b8:d9:68:dd:53:17:e2:59:60 (md5)
nombre de comando
Información de versión
Comando modificado en Junos OS versión 9,1. Campo de salida de cadena de asunto agregado en Junos
OS versión 12.1 X44-D10.
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2056
Descripción | 2056
Opciones | 2056
Sintaxis
Descripción
Después de ejecutar el comando, es posible que request security re-distribution ipsec-vpn gateway-
name gateway-name le lleve algún tiempo establecer un túnel nuevo. Este comando muestra los
comandos para los cuales los túneles se encuentran en el estado pendiente o en espera para
establecerse.
Opciones
nombre de puerta de enlace (Opcional) Muestra información para la puerta de enlace especificada.
2057
vista
Campos de resultados
Tabla 149 en la página 2057enumera los campos de salida del show security re-distribution ipsec-vpn
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Tabla 149: muestra los campos de salida ipsec-VPN de ree distribución de seguridad
Resultados de ejemplo
Gateway-name 2 2 5 n/a
Gateway-name-2 1 3 7 ike-id-3
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
in this section
Sintaxis | 2059
Descripción | 2059
Opciones | 2059
2059
Sintaxis
Descripción
Opciones
vista
2060
Campos de resultados
Tabla 150 en la página 2060enumera los campos de salida del show security tcp-encap connection
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS
TCP-encap | 1713
2062
in this section
Sintaxis | 2062
Descripción | 2062
Sintaxis
Descripción
vista
Campos de resultados
Tabla 151 en la página 2063enumera los campos de salida del show security tcp-encap statistics
comando. Los campos de salida se enumeran en el orden aproximado en el que aparecen.
2063
Resultados de ejemplo
Información de versión
VÍNCULOS RELACIONADOS